PDA

Просмотр полной версии : Трояны =\


SOKOL
14.12.2007, 14:31
Подозреваю что словил троянов, на одном крупном игровом портале.. нод ничего незаметил...

подозреваю эти файлы:

C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
-отправил вам для проверки...
akok
14.12.2007, 15:14
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить". (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('PowerManager');
QuarantineFile('C:\WINDOWS\system32\drivers\CDAC11 BA.EXE','');
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\Upda teService\ISUSPM.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteService('PowerManager');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил (http://virusinfo.info/showthread.php?t=1235).
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=


Если вы не используете www.netpede.com то:
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netpede.com/

Добавлено через 3 минуты

Это не хорошо выполнить скрипт:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Interne t Settings\Zones\3\', '1004', 3);
end.
Эти параметры вы изменяли?


>> Заблокирована настройка автоматического обновления
>> Таймаут завершения служб находится за пределами допустимых значений

Добавлено через 6 минут



C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
-отправил вам для проверки...

Нет их:(
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить". (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Installer\a2fbf.msi','п одозрение на Trojan-Downloader.Win32.Zlob.eih');
QuarantineFile('C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe','подозрение на Trojan-Downloader.Win32.Zlob.eih');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил (http://virusinfo.info/showthread.php?t=1235).
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=


Да необходимо повторить логи :)
SOKOL
14.12.2007, 15:28
Эти параметры вы изменяли?


>> Заблокирована настройка автоматического обновления
>> Таймаут завершения служб находится за пределами допустимых значений



Ага, я менял, делаю обновления вручную ежедневно)
все пофиксил, все выполнил, отправил:

Файл сохранён как 071214_062653_virus_4762768db97cf.zip
Размер файла 723255
MD5 97929e65e8b5f2c940e75e9b637c8553

сейчас новые логи буду делать)
SOKOL
14.12.2007, 16:14
вот -_-
akok
14.12.2007, 16:35
C:\WINDOWS\system32\r_server.exe сами устанавливали Remote Administrator
SOKOL
14.12.2007, 16:38
C:\WINDOWS\system32\r_server.exe сами устанавливали Remote Administrator?
вообще было дело, давно правда, но потом удалял о_О
akok
14.12.2007, 16:55
Remote Administrator удаляем и пара файлов для успокоения души

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить". (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('r_server');
QuarantineFile('C:\WINDOWS\system32\r_server.exe', '');
QuarantineFile('C:\Games\Lineage2 C4 + патчи (форсаж)\Lineage2 C4\system\npkcrypt.sys','');
QuarantineFile('c:\huadio.tmp','');
DeleteFile('C:\WINDOWS\system32\r_server.exe');
BC_ImportALL;
DeleteService('r_server');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил (http://virusinfo.info/showthread.php?t=1235).
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

Опять же если не используете то:

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

O9 - Extra button: Cool Flash Player - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\PROGRA~1\CFLASH~1\source.html
O9 - Extra 'Tools' menuitem: &Search SWF Files - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\PROGRA~1\CFLASH~1\source.html
O9 - Extra button: Отправить статью или интересную работу на [email protected] - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:[email protected]?subject=I_want_to_send_ you_article&body=Hello___Nikolay (file missing)
O9 - Extra 'Tools' menuitem: Отправить свою статью или интересную чужую работу на [email protected] - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:[email protected]?subject=I_want_to_send_ you_article&body=Hello___Nikolay (file missing)
SOKOL
14.12.2007, 17:12
Файл сохранён как 071214_080858_virus_47628e7a077fe.zip
Размер файла 1762
MD5 badf1350ef0a706b697592261dd65e5f

Добавлено через 3 минуты

AVZ попрежнему находит :
3. Сканирование дисков
C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)

Неужели это не вирус? О_о
akok
14.12.2007, 17:41
Файл сохранён как 071214_080858_virus_47628e7a077fe.zip
Размер файла 1762
MD5 badf1350ef0a706b697592261dd65e5f

Добавлено через 3 минуты

AVZ попрежнему находит :
3. Сканирование дисков
C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)




Неужели это не вирус? О_о


Эти файлы только уходили в карантин на иследование :)

Добавлено через 19 минут

C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe - чист
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX - надо сбросить настройки IE по дефолту
Больше ничего не вижу :) какие проблемы остались?


P.S. По C:\WINDOWS\Installer\a2fbf.msi ответ будет позже (хотя я подозреваю, что все впорядке)
SOKOL
14.12.2007, 18:23
да проблем нету, были подозрения))) да и файл както странно называется оО
большое спасибо =)
CyberHelper
22.02.2009, 03:04
Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 19
В ходе лечения обнаружены вредоносные программы:

c:\\program files\\mp3 player utilities 4.00\\deldrv.exe - not-a-virus:RiskTool.Win32.Deleter.e