Показано с 1 по 6 из 6.

Троян, предположительно Trojan.Mancsyn.J или BackDoor.Crvic (заявка № 9020)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2007
    Сообщений
    3
    Вес репутации
    36

    Exclamation Троян, предположительно Trojan.Mancsyn.J или BackDoor.Crvic

    С этим зверем боролся почти сутки, вроде как убил его, но 100% уверенности в этом нету.
    АВЗ 4.24 немного помог, но в конце концов после генерации отчетов повис намертво. Зверя пришлось удалить под ДОСом.
    Самого зверя не высылаю, ибо в правилах сие не записано. Однако выслал его на vendors@spywarefix.org. Если будет нужно - вышлю по почте (3 куска вируса, в архиве 300кб). Пишите ПМ от админа форума.
    Ниже - результаты проверки на вирустотале и джотте.

    +================================================= ====+

    STATUS: FINISHED
    Complete scanning result of "qmedia.exe", received in VirusTotal at 04.16.2007, 05:06:24 (CET).


    AntivirusVersionUpdateResult
    AhnLab-V32007.4.14.004.13.2007 no virus found
    AntiVir7.3.1.5204.15.2007TR/Mancsyn.J
    Authentium4.93.804.14.2007 no virus found
    Avast4.7.981.004.16.2007 no virus found
    AVG7.5.0.44704.15.2007 no virus found
    BitDefender7.204.16.2007Trojan.Mancsyn.J
    CAT-QuickHeal9.0004.14.2007 no virus found
    ClamAVdevel-2007031204.16.2007 no virus found
    DrWeb4.3304.15.2007BackDoor.Crvice
    Safe7.0.15.004.15.2007 no virus found
    eTrust-Vet30.7.356704.14.2007 no virus found
    Ewido4.004.15.2007 no virus found
    FileAdvisor104.16.2007 no virus found
    Fortinet2.85.0.004.16.2007 no virus found
    F-Prot4.3.2.4804.13.2007 no virus found
    F-Secure6.70.13030.004.16.2007 no virus found
    IkarusT3.1.1.504.15.2007 no virus found
    Kaspersky4.0.2.2404.16.2007 no virus found
    McAfee500904.13.2007 no virus found
    Microsoft1.240504.16.2007Exploit:Win32/MS06040.gen
    NOD32v2218704.13.2007probably a variant of Win32/Diazom
    Norman5.80.0204.14.2007 no virus found
    Panda9.0.0.404.15.2007 no virus found
    Prevx1V204.16.2007Trojan.Banker
    Sophos4.16.004.12.2007 no virus found
    Sunbelt2.2.907.004.14.2007 no virus found
    Symantec1004.15.2007W32.Mancsyn
    TheHacker6.1.6.09504.15.2007 no virus found
    VBA323.11.304.14.2007 no virus found
    VirusBuster4.3.7:904.15.2007 no virus found
    Webwasher-Gateway6.0.104.15.2007Trojan.Mancsyn.J

    Aditional InformationFile size: 49152 bytesMD5: 5b7a511eb8fdc372134be6d41c514640SHA1: 56ea87afa1183ab12fe43ef016902c8c8554ae5fPrevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=600c88630484


    +================================================= ====+

    Service load: 0% 100% File: qmedia.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
    MD5 5b7a511eb8fdc372134be6d41c514640

    Scan taken on 16 Apr 2007 03:06:03 (GMT)
    AntiVir Found TR/Mancsyn.J
    ArcaVir Found nothing
    Avast Found nothing
    AVG Antivirus Found nothing
    BitDefender Found Trojan.Mancsyn.J
    ClamAV Found nothing
    Dr.Web Found BackDoor.Crvic
    F-Prot Antivirus Found nothing
    F-Secure Anti-Virus Found nothing
    Fortinet Found nothing
    Kaspersky Anti-Virus Found nothing
    NOD32 Found probably a variant of Win32/Diazom (probable variant)
    Norman Virus Control Found nothing
    Panda Antivirus Found nothing
    Rising Antivirus Found nothing
    VirusBuster Found nothing
    VBA32 Found nothing
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O1 - Hosts: http://equi.hf.zoo http://equi.ath.cx
    O1 - Hosts: 222.111.150.111 gwgt1.joymax.com
    O20 - Winlogon Notify: efcyy - C:\WINNT\
    O20 - Winlogon Notify: efcyy- - C:\WINNT\
    O20 - Winlogon Notify: nnnkife - C:\WINNT\
    O20 - Winlogon Notify: nnnkife- - C:\WINNT\
    O23 - Service: Ntlg7nwsmaa - Unknown owner - (no file)
    2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine();
     QuarantineFile('C:\WINNT\system32\vp6dec_settings.cpl','');
     QuarantineFile('C:\WINNT\system32\vp7dec_settings.cpl','');
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9020


    c:\shttps\http.exe- сами ставили ? мирк тоже сами ?


    3. У вас остались следы одного из вариантов coolweb search .
    скачать это http://www.trendmicro.com/ftp/produc...cwshredder.exe, отключиться от инета, закрыть эксплорер , запустить . Всё что найдёт, выбрать и нажать fix. Перегрузиться.

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2007
    Сообщений
    3
    Вес репутации
    36
    Спасибо за оперативный ответ.

    Архив с вирусом выслал. Но не из АВЗ-шки, а то что я лично сам выковырял, потому что ни АВЗ ни АВП этот вирус не нашли.
    Файл сохранён как 070416_154917_virus_462362bd88a53.ZIP
    Размер файла 301796
    MD5 692b04cb097f7236ecb379015f328775

    c:\shttps\http.exe- сами ставили ? мирк тоже сами ?
    Конечно сам.
    1. SHTTP - это хттп, фтп и проч. сервер, маленький, навороченный, удобный для теста многих вещей, может работать сервисом.
    Взято тут: http://smallsrv.com/indexr.htm
    2. Ну а как же без ирц в домашней-то сети? Так что мирку в автозагрузку ставил сам.

    QuarantineFile('C:\WINNT\system32\vp6dec_settings. cpl','');
    QuarantineFile('C:\WINNT\system32\vp7dec_settings. cpl','');
    vp6 и vp7 - это кодеки видео, карантинить их не вижу смысла, потому скрипт не выполнял.
    "The On2 VP6 Video Codec"
    Взято тут: http://www.on2.com

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Что просили пофиксить, сделали?
    Цитата Сообщение от BlackCat Посмотреть сообщение
    vp6 и vp7 - это кодеки видео, карантинить их не вижу смысла, потому скрипт не выполнял.
    "The On2 VP6 Video Codec"
    Взято тут: http://www.on2.com
    Карантинить нужно не только для того, чтоб удалять, но и для того, чтоб в будущем АВЗ знал, что это файлы безопасные.

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2007
    Сообщений
    3
    Вес репутации
    36
    Ну если дело в этом, то могу выслать, это не проблема.
    У вас остались следы одного из вариантов coolweb search
    Таки ничего не нашлось. А какие следы остались? Можно немножко подробнее, я их ручками выковыряю.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,511
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. \\efcyy.dll - not-a-virus:AdWare.Win32.Virtumonde.iq (DrWEB: Trojan.Virtumod)
      2. \\nnnkife.dll - not-a-virus:AdWare.Win32.Virtumonde.ig (DrWEB: Trojan.Virtumod)
      3. \\qmedia.exe.vir - Backdoor.Win32.VanBot.bs (DrWEB: BackDoor.Crvic)


  • Уважаемый(ая) BlackCat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 27.07.2012, 10:28
    2. Вирус, предположительно Trojan.Winlock 1819
      От iiva в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.06.2010, 09:10
    3. СМС-баннер! Предположительно Trojan.AdultBan.26
      От Duke Crow в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.05.2010, 11:04
    4. Предположительно Trojan.Vapsup.fpn
      От Kashey в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:20
    5. Предположительно завелся троян
      От subjectt в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 25.05.2007, 19:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01533 seconds with 22 queries