Украли пароли подозрение на вирусы

Printable View

15.11.2008, 22:44
compik

Украли пароли подозрение на вирусы

Здравствуйте.
Украли у меня пароли от разных аккоунтов. Есть подозрение что в компьютере есть вирусы, точнее программы шпионы.
15.11.2008, 23:15
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Grish\Local Settings\Temp\file.exe','');
QuarantineFile('C:\Documents and Settings\Armen\Local Settings\Temp\~tmpa.exe','');
QuarantineFile('C:\Documents and Settings\Armen\Local Settings\Temp\xxx1868.exe','');
QuarantineFile('C:\Documents and Settings\Armen\Desktop\Armen\Player.exe','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
DeleteService('DnscacheCryptSvc');
QuarantineFile('C:\WINDOWS\system32\wpv451226364683.cpx','');
DeleteFile('C:\WINDOWS\system32\wpv451226364683.cpx');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('C:\Documents and Settings\Armen\Desktop\Armen\Player.exe');
DeleteFile('C:\Documents and Settings\Armen\Local Settings\Temp\xxx1868.exe');
DeleteFile('C:\Documents and Settings\Armen\Local Settings\Temp\~tmpa.exe');
DeleteFile('C:\Documents and Settings\Grish\Local Settings\Temp\file.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('DnscacheCryptSvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
16.11.2008, 15:23
compik

Вот повторные логи.

Кажется какие то вирусы еще остались, ничего не включено, но из динамиков какойто странный звук издается. Прикрепил записанный файл [attach]91586[/attach]
16.11.2008, 15:38
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\KDWin\KDWKeys.dll','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
17.11.2008, 02:05
compik

карантин отправил, сейчас делаю повторные логы.

[QUOTE]Результат загрузки
Array ( [0] => showthread.php?t=33916 [1] => 33916 )
Файл сохранён как 081116_170403_virus_4920a6e3091c4.zip
Размер файла 1427513
MD5 31b4abf49f73ddf35fecbff9f32539b3
Файл закачан, спасибо![/QUOTE]
17.11.2008, 11:29
PavelA

Звук может появляться при проверке AVZ, когда она ищет кейлоггеры.

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Выполнить:
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\kdwin\kdwin.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

прислать карантин.

З.Ы. Интересное описание.

Спец-программа для Армении:
[url]http://xelgen.livejournal.com/15113.html[/url]
17.11.2008, 13:45
compik

карантин отправил, вот еще повторные логи.
17.11.2008, 13:59
Гриша

Подождем ответа аналитиков по этому файлу...
22.11.2008, 10:04
compik

[quote=Гриша;310502]Подождем ответа аналитиков по этому файлу...[/quote]
up!
22.11.2008, 11:07
Гриша

No malicious software was found in the attached file.
22.02.2009, 01:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\armen\\desktop\\armen\\player.exe - [B]Trojan-Spy.Win32.VB.acw[/B][*] c:\\documents and settings\\armen\\local settings\\temp\\~tmpa.exe - [B]Trojan-Downloader.Win32.Agent.apxv[/B] (DrWEB: Trojan.MulDrop.20344)[*] c:\\documents and settings\\armen\\local settings\\temp\\xxx1868.exe - [B]Trojan.Win32.Agent.aidf[/B] (DrWEB: Trojan.Crypto.1)[*] c:\\documents and settings\\grish\\local settings\\temp\\file.exe - [B]Trojan.Win32.Agent.amsb[/B] (DrWEB: BackDoor.Bifrost.905)[*] c:\\windows\\system32\\msansspc.dll - [B]Trojan-Downloader.Win32.Tibs.kwo[/B] (DrWEB: Trojan.Inject.4530)[*] c:\\windows\\system32\\wpv451226364683.cpx - [B]Trojan.Win32.Agent.akrp[/B] (DrWEB: BackDoor.IRC.Nite.18)[/LIST][/LIST]
22.02.2009, 01:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\armen\\desktop\\armen\\player.exe - [B]Trojan-Spy.Win32.VB.acw[/B][*] c:\\documents and settings\\armen\\local settings\\temp\\~tmpa.exe - [B]Trojan-Downloader.Win32.Agent.apxv[/B] (DrWEB: Trojan.MulDrop.20344)[*] c:\\documents and settings\\armen\\local settings\\temp\\xxx1868.exe - [B]Trojan.Win32.Agent.aidf[/B] (DrWEB: Trojan.Crypto.1)[*] c:\\documents and settings\\grish\\local settings\\temp\\file.exe - [B]Trojan.Win32.Agent.amsb[/B] (DrWEB: BackDoor.Bifrost.905)[*] c:\\windows\\system32\\msansspc.dll - [B]Trojan-Downloader.Win32.Tibs.kwo[/B] (DrWEB: Trojan.Inject.4530)[*] c:\\windows\\system32\\wpv451226364683.cpx - [B]Trojan.Win32.Agent.akrp[/B] (DrWEB: BackDoor.IRC.Nite.18)[/LIST][/LIST]