BackDoor.Pigeon.3347

Printable View

14.08.2007, 04:08
Rogoff

BackDoor.Pigeon.3347

Не совсем уверен что поступил правильно, но ситуация следующая:

в начале месяца сделал проверку по правилам вирусинфо, тогда дрвеб нашел следующую заразу:
C:\sysukdu.exe инфицирован Trojan.DownLoader.22899 - удален
C:\WINDOWS\Temp\28.tmp инфицирован Trojan.Proxy.1872 - удален
C:\WINDOWS\Temp\55.tmp инфицирован Trojan.Proxy.1872 - удален

и логи АВЗ и hijackthis по правилам.

Вчера сделал проверку дрвебом повторно и логи тоже, соответственно старых логов теперь нет, а дрвеб нашел только BackDoor.Pigeon.3347 и удалил предыдущие три из папки инфицированных АВЗ

Логи АВЗ и hijackthis прилагаю

Для сведения хотелось бы знать как поступать если логи были сделаны ранее, то сначала их отправить даже если прошло пару недель?
14.08.2007, 04:31
Muzzle

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Kuma Games\kgsystray\Kuma_tray.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11649[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O23 - Service: Transaction Provisioning Service (duosf) - Unknown owner - C:\WINDOWS\system32\ServerPro.exe (file missing)[/CODE]
повторите логи.
Лучше присылать новые логи, сделанные на данный момент,ибо за две недели можно ещё чего словить :)
14.08.2007, 05:13
Rogoff

Судя по логу hijackthis записи заразы остаются, но комп заметно шустрее работать стал

Да, карантин загружен
Файл сохранён как 070814_044924_virus_46c0fc2b728af.zip
Размер файла 1360454
MD5 5ca17619dea8365ef91bd90fb9a12f8c
14.08.2007, 05:25
Muzzle

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('C:\WINDOWS\hsk.exe');
BC_DeleteSvc('duosf');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Если попадёт в карантин, то прислать согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11649[/url]
повторите лог [B]hijackthis[/B]
14.08.2007, 08:12
Rogoff

Карантин сделал, отметил все было :) Видимо нужно было только то, что связано с hsk.exe?

Файл сохранён как 070814_073922_virus_46c1240132796.zip
Размер файла 1360431
MD5 9c770abe82a4bd4fb858b5722215b625

В логах [B]hijackthis [/B]этот hsk.exe снова в реестр прописывается
14.08.2007, 08:45
Muzzle

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O23 - Service: wini64 - Unknown owner - C:\WINDOWS\hsk.exe (file missing)[/CODE]
больше ничего нет подозрительного.
14.08.2007, 09:23
Rogoff

т.е. снова логи не надо делать?
14.08.2007, 09:28
Muzzle

давайте для полного успокоения, весь пакет логов ;)
14.08.2007, 10:12
Rogoff

Вот и логи
14.08.2007, 14:06
Muzzle

В логах всё чисто.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!
16.08.2007, 06:41
Rogoff

Большое спасибо за помощь, базу в ближайшее время постараюсь создать. Но сначала я решил привести службы в порядок по советам из электронной книги "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и обнаружил службу wini64, которая значится отключенной. Вроде как мы с ней боролись и видимо не все почистили раз она висит в списке служб? Или это просто остаточный след от нее?
16.08.2007, 06:54
Muzzle

можно её следы удалить,окончательно.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('wini64');
BC_Activate;
RebootWindows(true);
end.[/CODE]