ПО Hidden object (модификация)

Printable View

03.07.2007, 08:28
OlgaHelga

Вложений: 3

ПО Hidden object (модификация)

03.07.2007 10:06:38 Процесс C:\WINDOWS\system32\mssync20.exe, обнаружено: потенциально опасное ПО Hidden object (модификация)
[ATTACH]13047[/ATTACH]

[ATTACH]13048[/ATTACH]

[ATTACH]13049[/ATTACH]
03.07.2007, 08:31
Muzzle

[COLOR="Red"]уберите карантин из сообщения (virusinfo_cure.zip) [/COLOR] и прикрепите логи как положено по правилам.

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('swmclip.dll','');
QuarantineFile('svchоst.exe','');
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
QuarantineFile('C:\WINDOWS\system32\msicuic.dll','');
QuarantineFile('C:\WINDOWS\system32\mssync20.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\mssync20.sys','');
DeleteFile('swmclip.dll');
DeleteFile('C:\WINDOWS\system32\mssync20.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

пофиксите
[CODE]O15 - Trusted Zone: apps.centercredit.kz
O16 - DPF: PrivateWire - http://apps.centercredit.kz/jpw.cab[/CODE]
03.07.2007, 08:47
OlgaHelga

Не знаю, как убрать карантин...
Логи правильно прикрепила?
03.07.2007, 08:51
Bratez

[quote=OlgaHelga;119945]Не знаю, как убрать карантин...
Логи правильно прикрепила?[/quote]
Через Управление вложениями.
Должен быть еще virusinfo_syscheck.zip.
03.07.2007, 08:52
OlgaHelga

[quote=Bratez;119947]Через Управление вложениями.
Должен быть еще virusinfo_syscheck.zip.[/quote]

:'-( Не знаю, где вязть этот файл...

[COLOR="Sienna"]из 10-ого пункта правил. Как выполнишь, так и появиться - магия однако ;)[/COLOR]
03.07.2007, 09:05
Bratez

[QUOTE='OlgaHelga;119948']Не знаю, где вязть этот файл[/QUOTE]
Ладно, пока не нужно. Пришлите карантин после скрипта [B]Muzzle[/B].

[size="1"][color="#666686"][B]Добавлено через 9 минут[/B][/color][/size]
Еще есть подозрительные файлы.
Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssync20.dll','');
QuarantineFile('C:\WINDOWS\system32\msstub.dll','');
QuarantineFile('C:\WINDOWS\system32\mssync20.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин согласно приложению 3 правил.
03.07.2007, 09:28
OlgaHelga

Вроде бы всё сделала, как Вы советовали. Посмотрите пожалуйста.
СПАСИБО Вам за помощь.:*
03.07.2007, 09:32
drongo

[quote=OlgaHelga;119956]Вроде бы всё сделала, как Вы советовали. Посмотрите пожалуйста.
СПАСИБО Вам за помощь.:*[/quote]
Что-то у вас понимание прочитанного хромает.Делать и присылать по правилам, [B]дополнение 3[/B] . Присылать карантин только по ссылке в шапке :[url]http://virusinfo.info/upload_virus.php?tid=10783[/url]
Может на английском будет лучше, на русском у вас не очень выходит. : [url]http://virusinfo.info/showthread.php?t=9184[/url]
03.07.2007, 09:59
OlgaHelga

[quote=drongo;119958]Что-то у вас понимание прочитанного хромает.Делать и присылать по правилам, [B]дополнение 3[/B] . Присылать карантин только по ссылке в шапке :[URL]http://virusinfo.info/upload_virus.php?tid=10783[/URL]
Может на английском будет лучше, на русском у вас не очень выходит. : [URL]http://virusinfo.info/showthread.php?t=9184[/URL][/quote]

Прислала по правилам.
03.07.2007, 10:52
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msicuic.dll');
DeleteFile('C:\WINDOWS\system32\msindeo.dll');
DeleteFile('C:\WINDOWS\system32\mssync20.exe');
DeleteFile('svchоst.exe');
DeleteFile('swmclip.dll');
DeleteFile('C:\WINDOWS\system32\msstub.dll');
DeleteFile('C:\WINDOWS\system32\mssync20.dll');
BC_ImportDeletedList;
BC_DeleteSvc('mssync2020');
BC_DeleteFile('C:\WINDOWS\system32\mssync20.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing)
O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - C:\WINDOWS\system32\msstub.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NeroFilterCheck] svchоst.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\msicuic.dll
O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing)
O21 - SSODL: VStorage - {5BE5BC79-82C9-472A-85CA-55B9A8FB2E2D} - swmclip.dll (file missing)
[/code]
(некоторых строк может не оказаться).
Затем перезагрузитесь и сделайте новые логи (п.8-13 правил).
03.07.2007, 13:58
OlgaHelga

Сделала новые логи.. Посмотрите пожалуйста.
03.07.2007, 14:07
Muzzle

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\smss.exea','');
DeleteFile('C:\WINDOWS\System32\smss.exea');
BC_DeleteFile('C:\WINDOWS\System32\smss.exea');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Пришлите файл согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
и повторите лог HijackThis
03.07.2007, 14:36
OlgaHelga

[quote=Muzzle;120042]Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\smss.exea','');
DeleteFile('C:\WINDOWS\System32\smss.exea');
BC_DeleteFile('C:\WINDOWS\System32\smss.exea');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Пришлите файл согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
и повторите лог HijackThis[/quote]
Запрашиваемый файл находит, но скопировать его в карантин не удается!!! :'-(
03.07.2007, 15:06
Muzzle

вы скрипт выполняли? и где лог HijackThis?
03.07.2007, 15:29
OlgaHelga

Вложений: 1

[quote=Muzzle;120062]вы скрипт выполняли? и где лог HijackThis?[/quote]
Да я выполнила скрипт.[ATTACH]13062[/ATTACH]
03.07.2007, 15:38
Muzzle

всё чисто ;)
Желательно работать под пользователем с ограниченными правами.
По возможности не использовать IE,а пользоваться другими браузерам,например Opera,Firefox (с отключенными скриптами)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!
03.07.2007, 16:18
OlgaHelga

[quote=Muzzle;120069]всё чисто ;)
Желательно работать под пользователем с ограниченными правами.
По возможности не использовать IE,а пользоваться другими браузерам,например Opera,Firefox (с отключенными скриптами)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи![/quote]

СПАСИБО ОГРОМНОЕ ЗА ВАШЕ ТЕРПЕНИЕ И ПОНИМАНИЕ КО МНЕ, КАК К ЮЗЕРУ, ПРИ ОКАЗАНИИ ПОМОЩИ!!!:*

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
[quote=Bratez;119947]Через Управление вложениями.
Должен быть еще virusinfo_syscheck.zip.[/quote]

спасибо!!!!

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
[quote=drongo;119958]Что-то у вас понимание прочитанного хромает.Делать и присылать по правилам, [B]дополнение 3[/B] . Присылать карантин только по ссылке в шапке :[URL]http://virusinfo.info/upload_virus.php?tid=10783[/URL]
Может на английском будет лучше, на русском у вас не очень выходит. : [URL]http://virusinfo.info/showthread.php?t=9184[/URL][/quote]

сПАСИБО
22.02.2009, 02:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\avz00001.zip - [B]Trojan-Spy.Win32.Goldun.pq[/B] (DrWEB: archive: Trojan.PWS.GoldSpy)[*] c:\\windows\\system32\\msicuic.dll - [B]Trojan-Spy.Win32.Goldun.pq[/B] (DrWEB: Trojan.PWS.GoldSpy)[*] c:\\windows\\system32\\mssync20.dll - [B]Trojan-Spy.Win32.Agent.aar[/B] (DrWEB: Trojan.BhoSpy)[*] c:\\windows\\system32\\mssync20.sys - [B]Trojan-Spy.Win32.Agent.kd[/B] (DrWEB: Trojan.NtRootKit.297)[/LIST][/LIST]