-
Trojan.PWS & Trojan.Proxy & Trojan.DownLoader + маленькая тележка
Кратко: Avast!:
- Win32:Goldun-IB[Trj]
- Win32:Banker-PGS[Trj]
- Win32.Agent-FTK [Wrm]
DrWeb - CureIT!:
- Trojan.PWS.LDPinch.1607
- Trojan.PWS.LDPinch.1744
- Trojan.PWS.LDPinch.1757
- Trojan.PWS.LDPinch.1798
- Trojan.Proxy.1800
- Trojan.DownLoader.22375
При чём два последние неубиваемые.
Замечание Сразу прошу прощения за некоторый сумбур и за то, что прикрепил файлов вдвое больше, чем было рекомендовано в правилах. Но это не потому, что я не читал. Я их полностью читал! { moderated}
ПослесловиеБольшое спасибо, если поможете мне.
Последний раз редактировалось Dihlophos; 28.05.2007 в 21:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Наконец , уже лучше .Сейчас посмотрю логи.
-
-
Спасибо. Извините, что прикрепил не так, как надо. Что-то я стормозил, хоть на картинку и глядел .
Постараюсь сделать более коректные логи без Avast! и Symantec и правильно их загрузить.
-
Для удаления оставшихся компонент Symantec'a:
1. Запустить окно командной строки и выполнить команды:
sc stop "Symantec Core LC"
sc delete "Symantec Core LC"
2. Выполнить скрипт в AVZ:
Код:
begin
BC_DeleteSvc('symlcbrd');
BC_DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
BC_DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
BC_Activate;
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\flcon.dll','');
QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
QuarantineFile('C:\WINDOWS\svchоst.exe','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\svchоst.exe');
DeleteFile('C:\WINDOWS\system32\perfc000.dat');
BC_ImportQuarantineList;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(7);
ExecuteRepair(12);
RebootWindows(true);
end.
Если не будет рабочего стола после пункта 1:
Надо нажать CRTL+ALT+DEL. В появившемся диспетчере задач нажать кнопку "Новая задача", и в открывшемся окне выбора файла выбрать avz.exe и нажать OK.A затем выполнить предложенный скрипт.
Будет автоматическая перезагрузка после пункта 1 ,в любом случае пункт 2 и 3 выполнить .
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.
Будет автоматическая перезагрузка после пункта 2.
3.Прислать весь карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9800...
P.S. Лечение не закончено. Выполните то,что сказал Bratez и я, продолжение следует ...
Последний раз редактировалось drongo; 17.05.2007 в 13:58.
-
-
Карантин прислал.
Есть одно уточнение, касающееся выгрузки avast!
Я выяснил - цивилизованно выгрузить avast! нельзя. Я сделал это вручную, и вот как:
- Отключил “защиту доступа” в меню резидентной программы (которая висит в трее)
- Остановил службы (Пуск -> Панель управления -> Администрирование -> Службы)
- “avast! Antivirus”
- “avast! iAVS4 Control Service”
- Завершил процесс “ashDisp.exe” через диспетчер задач (нажав CTRL+ALT+DEL)
Я подумал, может это будет интересно, раз тут немало людей пользуется этим антивирусом.
И ещё у меня есть одно небольшое замечание, касающееся работы этого сайта. После загрузки карантина появилось окно, свидетельствующее об этом. Там была строчка:
“Файл сохранён как/td> 070517_211843_virus_464c8e7305eef.zip”
Исправьте, пожалуйста, тег “</td>”.
И большое вам спасибо за помощь.
-
Поменяйте пока пароли от всего, если вы говорите что пинч был.
Спасибо за замечания, примем к сведению. Если бы вы ещё картинки к манипуляциям с авастом сделали - было бы просто замечательно.
-
-
Уважаемый drongo!
Так как Вы ранее писали
P.S. Лечение не закончено. Выполните то,что сказал Bratez и я, продолжение следует...
то как относится к Вашим словам об изменении паролей? Насколько это безопасно сейчас?
Продолжение будет или нет?
P.S.: А куда картинки скидывать с avast!ом?
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\flcon.dll',);
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(7);
ExecuteRepair(12);
RebootWindows(true);
end.
Меняйте пароли срочно!!!
Давайте новые логи.
А картинки и описалово - это в другой раздел форума http://virusinfo.info/forumdisplay.php?f=39, там ваши рекомендации буду кстати.
Последний раз редактировалось Alex_Goodwin; 18.05.2007 в 05:09.
-
-
Понимать в прямом смысле, пароли поменять от всего. Мыло, аськи , банки, сайты . во общем что не успеете поменять- то пропало.
Хорошая у вас коллекция, даже свеженький пинч есть.
Код:
Здравствуйте,
avz00001.dta
Вредоносный код в файле не обнаружен.
avz00002.dta,
bcqr00001.dat,
bcqr00002.dat - not-a-virus:AdWare.Win32.Delf.l
Это файлы от рекламной системы. Такие файлы детектируются
расширенным набором баз. Подробная информация о
расширенных базах: http://www.kaspersky.ru/extraavupdates
avz00003.dta,
bcqr00005.dat,
bcqr00006.dat - Backdoor.Win32.Small.os,
avz00004.dta - Trojan.Win32.Agent.alv
Эти файлы определяются антивирусом. Обновите антивирусные базы.
avz00005.dta - Trojan-PSW.Win32.LdPinch.bzs
Детектирование файла будет добавлено в следующее обновление.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/
http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.
http://www.kaspersky.com/helpdesk.html - техническая поддержка
> Attachment: 070517_211843_virus_464c8e7305eef.zip
> VirusInfo Из темы http://virusinfo.info/showthread.php?t=9800 070517_211843_virus_464c8e7305eef.zip
>
_______________________________________________
Suspected mailing list
[email protected]
http://mail.virusinfo.info/mailman/listinfo/suspected_virusinfo.info
Где же ваши новые логи, о которых говорил Alex Godvin ? Перед этим выполните его скрипт. Надо посмотреть, что осталось.
Последний раз редактировалось drongo; 18.05.2007 в 07:52.
-
-
Всё выполнил.
Вот логи.
Спасибо за предупреждение по поводу паролей.
Последний раз редактировалось Dihlophos; 28.05.2007 в 21:26.
-
1.Давайте ещё раз вот такой :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\flcon.dll');
DeleteFile('C:\WINDOWS\system32\swmclip.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
2. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: Flash Console v.4.1 - {BCC8A4AB-C055-461E-B4B5-1B0EA8647897} - C:\WINDOWS\system32\flcon.dll
O21 - SSODL: VStorage - {13B3A7EB-9A97-469D-AD40-0D8266EC6469} - swmclip.dll (file missing)
3. Сделать новые логи! ( не забудете запустить эксплорер перед выполнением каждого лога)
Последний раз редактировалось drongo; 18.05.2007 в 14:31.
-
-
Сообщение от
Dihlophos
И ещё у меня есть одно небольшое замечание, касающееся работы этого сайта. После загрузки карантина появилось окно, свидетельствующее об этом. Там была строчка:
“Файл сохранён как/td> 070517_211843_virus_464c8e7305eef.zip”
Исправьте, пожалуйста, тег “</td>”.
И большое вам спасибо за помощь.
Вам спасибо, за очередное напоминание Давно собирался убрать, но все забывал. Пофиксено.
-
-
Строки пофиксил.
Логи сделал.
Эксплорер загрузить не забыл.
Последний раз редактировалось Dihlophos; 28.05.2007 в 21:26.
-
Пришлите эти файлы , они мне не нравятся.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\a297622c84708fc6530949\update\update.exe','');
QuarantineFile('C:\afb7af10ef0deda008315655293ed188\update\update.exe','');
QuarantineFile('C:\Program Files\ABBYY FineReader 8.0 ProfessionalEdition\fr8.1.3.patch.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось drongo; 19.05.2007 в 12:42.
-
-
Карантин закачал.
Логи прислать не могу - я исчерпал лимит.
P.S.: Тема в FAQ про то, как выгрузить avast! для меня закрыта.
А у меня картинки на подходе, да и более развёрнутое и корректное описание процесса тоже...
-
Логи прислать не могу - я исчерпал лимит.
Логи пока не нужны - скрипт карантина ничего не изменяет.
Потом просто удалите старые вложения, и можно будет прикрепить новые.
I am not young enough to know everything...
-
-
Сообщение от
Dihlophos
P.S.: Тема в FAQ про то, как выгрузить avast! для меня закрыта.
А у меня картинки на подходе, да и более развёрнутое и корректное описание процесса тоже...
Отправьте в личку Дронго, копирайт за вами.
-
-
У меня вопрос по теме - так всё чисто?
-
-