Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

троян, пытающийся получить доступ к WM ID (заявка № 83019)

  1. #1
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51

    Exclamation троян, пытающийся получить доступ к WM ID

    Здравствуйте специалисты virusinfo.info и специалисты, которые помогут решить проблему!
    На прошлой неделе администрация webmoney заблокировала проведение операций по WebMoney ID, всвязи с попытками программы трояна получить несанкционированный доступ к моему WM ID.

    На компьютере последние полтора года установлен антивирус Avast. Avast во время обычной проверки вирусов не обнаруживает. Однако при проведении проверки Ad-Aware SE Personal-ом Avast ловит
    C:\DOCUME~1\AKord\LOCALS~1\Temp\AAWTMP\C32207375\2 2CACF\eclsxp21.exe
    Win32:Malware-gen
    При удалении этого файла, папки начинают бегать и менять названия, а иногда сама папка AAWTMP исчезает из папки Temp.
    Так же постоянно показывает в наличие Win32.Toolbar.LanguageBar
    ...software\microsoft\internet explorer\urlsearchhooks "{ca3e.......

    Вот восновном всё. Вчера проверил dr.web cureit - ничего подозрительного не обнаруживает. Вчера так же пролечил и сегодня повторил проверку прогой Virus Removal Tool. Нашёл 16 случев, восновном старые кряки к програмам и файлы типа:
    C:\System Volume Information\_restore{9B508C34-EA55-4E48-8976-DFAD95C1C659}\RP508\A0125362.exe
    C:\System Volume Information\_restore{9B508C34-EA55-4E48-8976-DFAD95C1C659}\RP508\A0125364.exe
    E:\System Volume Information\_restore{9B508C34-EA55-4E48-8976-DFAD95C1C659}\RP508\A0125396.exe
    F:\System Volume Information\_restore{9B508C34-EA55-4E48-8976-DFAD95C1C659}\RP508\A0125400.exe

    Посоветуйте пожалуйста какие меры мне нужно предпринять чтобы избавиться от этой беды.
    Надеюсь на помощь!
    Спасибо.

    С уважением,
    Александр
    Последний раз редактировалось Akor; 13.07.2010 в 20:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
    O20 - AppInit_DLLs:
    2. Выполните скрипт в AVZ
    Код:
    begin
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    to AndreyKa

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  6. #5
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    Цитата Сообщение от polword Посмотреть сообщение
    1.Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
    O20 - AppInit_DLLs:
    2. Выполните скрипт в AVZ
    Код:
    begin
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    Ок. выполнил. Единственно когда профиксил в HiJackThis вылезла в конце ошибка (прикрепляю скрин HJT.jpg)

  7. #6
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    е

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    Больше подозрительного нет.

    - Проведите процедуру, которая описана в первом сообщении тут.

  9. #8
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    Провёл. Спасибо!

    Добавлено через 2 часа 45 минут

    Проверил опять Ad-Aware SE Personal и опять на том же месте выловился
    Win32:Malware-gen вирус/червь, версия 100713-1, 13.07.2010
    C:\DOCUME~1\AKord\LOCALS~1\Temp\AAWTMP\C6911656\27 06B2\eclsxp21.exe
    Последний раз редактировалось Akor; 14.07.2010 в 10:46. Причина: Добавлено

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Сделайте лог MBAM

    Добавлено через 7 минут

    - Очистите темп-папки, кэш проводников
    Последний раз редактировалось polword; 14.07.2010 в 10:56. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    При быстром сканированиии

  12. #11
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    При полном сканировании

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Progr_.dll ','');
     QuarantineFile('C:\Program Files\ICQToolbar\toolbaru.dll ','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте лог MBAM

  14. #13
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    '

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    карантин загрузите

  16. #15
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    Загружаю. Пишется "Ошибка загрузки. Данный файл уже был загружен"
    quarantine.zip образовался, но папка пустая

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    что с проблемой?

  18. #17
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    Файл сохранён как 100715_073009_Quarantine__4c3e80c101b30.zip
    Размер файла 310
    MD5 f5a4df44fc5a6d3dff8475e9f9739fc3
    Но архив с карантинами всё-равно, насколько я вижу, пустой

    Добавлено через 1 час 33 минуты

    может карантин из МBAM прислать?
    Последний раз редактировалось Akor; 15.07.2010 в 09:05. Причина: Добавлено

  19. #18
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    Сорри, за офлайн.
    Рolword, как дальше поступить c лечением?
    Спасибо

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Еще что-то беспокоит?

  21. #20
    Junior Member Репутация
    Регистрация
    13.07.2010
    Сообщений
    13
    Вес репутации
    51
    Да, есть частично теже проблемы. Почти на сутки у провайдера был форс-мажор, инет не работал. Всё излечилось. Подключил - опять eclsxp21.exe во время проверки Ad-Aware SE Personal вылезла и начала "прыгать".
    И из прикреплённых файлов посмотрите пожалуйста, что можно и нужно удалить из карантина MBAM, неповредив систему?

  • Уважаемый(ая) Akor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 27.09.2009, 12:07
    2. Как получить доступ в фс ext2/ext3 из под Windows?
      От Синауридзе Александр в разделе Linux
      Ответов: 1
      Последнее сообщение: 03.09.2008, 00:58
    3. Не могу получить доступ к скрытым файлам
      От sergey_gavrilov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.03.2008, 04:13
    4. Кто-то получил доступ на мой комп.
      От Loiso в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.11.2006, 23:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01514 seconds with 19 queries