Украли аккаунт.

Printable View

23.04.2007, 20:08
Shopot

Вложений: 3

Украли аккаунт.

Украли аккаунт к онлайн игре, галочки на "сохранить пароль" никогда не ставил, пароль к игровому аккаунту не совпадал ни с одним паролем системы, не был легкоподбираем. Опасаюсь приступать к восстановлению игрового аккаунта т.к в ходе AVZ проверки был обнаружен перехватчик клавиатуры.
До проверки AVZ стал жутко тормозить Оутпост. После проверки вроде нормально. Можно ли дать рекомендации в процессе чтого я мог поймать трояна? Есть предположение что в процессе установки Java программы.
23.04.2007, 20:22
Numb

Скачайте версию 4.25 программы AVZ. В ней - "Файл" - "Выполнить скрипт" - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\dllms.dll','');
QuarantineFile('c:\program files\microsoft\svhost32.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]Система будет перезагружена. После перезагрузки, загрузите содержимое карантина AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=9241[/url] , как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
23.04.2007, 20:22
Rene-gad

[QUOTE=Shopot;105409]Украли аккаунт к онлайн игре[/QUOTE]
[QUOTE]O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll[/QUOTE]:P
Осмелюсь предположить: у Вас не только это украли
[QUOTE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/QUOTE]
Кто Винду защищать будет?
23.04.2007, 20:24
anton_dr

АВЗ - файл- выполнить скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\dllms.dll','');
QuarantineFile('c:\program files\microsoft\svhost32.exe','');
QuarantineFile('C:\WINDOWS\FISH.SCR','');
DeleteFile('C:\WINDOWS\FISH.SCR');
DeleteFile('c:\program files\microsoft\svhost32.exe');
DeleteFile('C:\WINDOWS\System32\dllms.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки, прислать карантин согласно правил.

И вот это надо обновить обязательно.
[code]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]
23.04.2007, 21:30
Shopot

Закачал.
C:\WINDOWS\FISH.SCR программа-заставка стоит с момента установки ОС. Ставил хороший знакомый по моей просьбе. действительно нужно удалять? IE не использую, хоть и стоит браузером по умолчанию, работаю в Opera.
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
В двух словах можно узнать что это?
Указанные в карантин и удаление файлы я нашел перед обращением на форум самостоятельно, можно каой либо намек откуда они?
23.04.2007, 21:32
Rene-gad

[QUOTE=Shopot;105425]
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
В двух словах можно узнать что это?[/QUOTE]
Crack for Windows ;).
23.04.2007, 22:32
Numb

[quote=Shopot;105425]Указанные в карантин и удаление файлы я нашел перед обращением на форум самостоятельно, можно каой либо намек откуда они?[/quote]

А [URL="http://virusinfo.info/member.php?u=1413"]anton_dr[/URL] все написал - [quote] И вот это надо обновить обязательно.
Код:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
[/quote] Ставьте SP2 + порядка 80 критических обновлений, тогда можно будет нормально работать. Вы выполнили какой-нибудь из скриптов? Если да, то c:\program files\microsoft\svhost32.exe в карантин не попал. C:\WINDOWS\System32\dllms.dll определяется, как Trojan-PSW.Win32.Nilage.bjl (по классификации Касперского)
23.04.2007, 23:46
Shopot

Выполнил:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\dllms.dll','');
QuarantineFile('c:\program files\microsoft\svhost32.exe','');
DeleteFile('c:\program files\microsoft\svhost32.exe');
DeleteFile('C:\WINDOWS\System32\dllms.dll');
ExecuteSysClean;
RebootWindows(true);
end.
c:\program files\microsoft\svhost32.exe удалил видимо до советов, вручную, поэтому он не попал в карантин.
Систему обновлю на днях. Спасибо за помощь.
24.04.2007, 00:41
Numb

Только имейте в виду, что, в вашем случае, после установки SP2, почти наверняка потребуется повторная активация Windows
24.04.2007, 05:03
anton_dr

[QUOTE=Shopot;105438]
c:\program files\microsoft\svhost32.exe удалил видимо до советов, вручную, поэтому он не попал в карантин.
Систему обновлю на днях. Спасибо за помощь.[/QUOTE]

Тогда очему он есть в логах?

Сделайте повторные логи.
24.04.2007, 23:32
Shopot

Вложений: 3

Выполнил. ОС переставлю на днях, с ней и IE.
25.04.2007, 10:14
NickGolovko

Признаков активного заражения нет.
22.02.2009, 01:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\microsoft\\svhost32.exe - [B]Trojan-GameThief.Win32.Nilage.bjl[/B] (DrWEB: Trojan.PWS.Lineage)[*] c:\\windows\\system32\\dllms.dll - [B]Trojan-GameThief.Win32.Nilage.bjl[/B] (DrWEB: Trojan.PWS.Lineage)[/LIST][/LIST]