Видимо, вирус

Printable View

05.08.2007, 21:39
voron73

Вложений: 3

Видимо, вирус

вирус
05.08.2007, 21:52
voron73

Подозреваю Trojan-Spy:W32/Banker.CPV , т.к. служба "Generic Host Process for Win32 Services" лезет на skytrip.org
05.08.2007, 23:07
V_Bond

профиксите
[code]
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
[/code]
выполните скрипт
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\SystemRoot\System32\drivers\nvemu.SYS','');
QuarantineFile('D:\WINDOWS\system32\adsldpcn.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
06.08.2007, 01:53
voron73

Прислал...
06.08.2007, 13:35
V_Bond

adsldpcn.exe - Backdoor.Win32.IRCBot.acx
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\WINDOWS\system32\adsldpcn.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи ...
06.08.2007, 18:05
voron73

Вложений: 3

Добавил новые вложения
06.08.2007, 18:23
PavelA

Выполнить скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('msupdate');
QuarantineFile('d:\windows\system32\mssrv32.exe' ,'');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки загрузить карантин. Ссылка вверху темы.
06.08.2007, 19:42
voron73

отослал...
06.08.2007, 20:04
PavelA

Из-за плохой работы сайта могу только посоветовать закинуть файл из карантина на virustotal.com, а о результатах сообщить здесь.
Надеюсь, к завтрашнему вечеру работа наладится.
06.08.2007, 21:06
voron73

все стихло, кроме того, что что-то лезет на 203.121.79.218

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

AhnLab-V3 2007.8.3.0 2007.08.06 -
AntiVir 7.4.0.57 2007.08.06 HEUR/Crypted
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.06 -
AVG 7.5.0.476 2007.08.05 -
BitDefender 7.2 2007.08.06 -
CAT-QuickHeal 9.00 2007.08.06 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.06 -
DrWeb 4.33 2007.08.06 -
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5037 2007.08.06 -
Ewido 4.0 2007.08.06 -
FileAdvisor 1 2007.08.06 -
Fortinet 2.91.0.0 2007.08.06 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.06 -
Ikarus T3.1.1.8 2007.08.06 -
Kaspersky 4.0.2.24 2007.08.06 -
McAfee 5091 2007.08.06 -
Microsoft 1.2704 2007.08.06 -
NOD32v2 2439 2007.08.06 -
Norman 5.80.02 2007.08.06 -
Panda 9.0.0.4 2007.08.06 Suspicious file
Prevx1 V2 2007.08.06 -
Rising 19.35.02.00 2007.08.06 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.06 -
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.06 -
Webwasher-Gateway 6.0.1 2007.08.06 Heuristic.Crypted
06.08.2007, 21:16
V_Bond

AntiVir 7.4.0.57 2007.08.06 HEUR/Crypted
CAT-QuickHeal 9.00 2007.08.06 (Suspicious) - DNAScan
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
Panda 9.0.0.4 2007.08.06 Suspicious file
Webwasher-Gateway 6.0.1 2007.08.06 Heuristic.Crypted
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\mssrv32.exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи .....
06.08.2007, 22:48
voron73

Вложений: 3

добавил...

После последней перезагрузки фаер молчит и никто никуда не лезет...
Хотя я эти 3 адреса отрубил в настройках намертво.
06.08.2007, 23:21
voron73

после последней перезагрузки вроде тишина (Sygate firewall молчит).
07.08.2007, 18:25
voron73

И что теперь делать? Все кончилось? Всех врагов убили?
07.08.2007, 18:45
PavelA

Профиксить в HijackThis

[CODE]O23 - Service: ERMLicSrv_ATL71 ERMLicSrv_ATL71ProtectedStorage
(ERMLicSrv_ATL71ProtectedStorage) - Unknown owner - D:\WINDOWS\system32\adsldpcn.exe (file missing)[/CODE]

Если не получится, то в AVZ -- Сервис -- Диспетчер служб -- найти эту строчку и нажать крестик.
07.08.2007, 21:25
voron73

Сделал в AVZ (в HijackThis - не получилось).
Что дальше?
07.08.2007, 22:23
V_Bond

для контроля повторите лог HijackThis ....
07.08.2007, 23:30
voron73

Вложений: 1

Повторил...
07.08.2007, 23:42
drongo

D:\WINDOWS\system32\ERM\7.1\ERMLicSrv_ATL71.exe - ? похоже гадость, да ещё и сервисом весит.
O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - [url]http://216.32.89.203/activex/vogweb29.cab[/url] -знакомо ?
08.08.2007, 00:21
voron73

[quote=drongo;126811]D:\WINDOWS\system32\ERM\7.1\ERMLicSrv_ATL71.exe - ? похоже гадость, да ещё и сервисом весит.[/quote]
это не гадость. Это для работы программы Ermapper.exe

[quote]O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} (VOGWeb2 Class) - [URL]http://216.32.89.203/activex/vogweb29.cab[/URL] -знакомо ?[/quote]
Знакомо, это видимо к проге VOGclub.exe

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Так оно и есть....
по-поводу D:\WINDOWS\system32\ERM\7.1\ERMLicSrv_ATL71.exe
AhnLab-V3 2007.8.3.0 2007.08.07 -
AntiVir 7.4.0.57 2007.08.07 -
Authentium 4.93.8 2007.08.07 -
Avast 4.7.1029.0 2007.08.07 -
AVG 7.5.0.476 2007.08.07 -
BitDefender 7.2 2007.08.07 -
CAT-QuickHeal 9.00 2007.08.07 -
ClamAV 0.91 2007.08.07 -
DrWeb 4.33 2007.08.07 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5040 2007.08.07 -
Ewido 4.0 2007.08.07 -
FileAdvisor 1 2007.08.07 -
Fortinet 2.91.0.0 2007.08.07 -
F-Prot 4.3.2.48 2007.08.07 -
F-Secure 6.70.13030.0 2007.08.07 -
Ikarus T3.1.1.12 2007.08.07 -
Kaspersky 4.0.2.24 2007.08.07 -
McAfee 5092 2007.08.07 -
Microsoft 1.2704 2007.08.07 -
NOD32v2 2442 2007.08.07 -
Norman 5.80.02 2007.08.07 -
Panda 9.0.0.4 2007.08.07 -
Prevx1 V2 2007.08.07 -
Rising 19.35.12.00 2007.08.07 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.07 -
Symantec 10 2007.08.07 -
TheHacker 6.1.7.163 2007.08.07 -
VBA32 3.12.2.2 2007.08.07 -
VirusBuster 4.3.26:9 2007.08.07 -
Webwasher-Gateway 6.0.1 2007.08.07 -
-------
По поводу [url]http://216.32.89.203/activex/vogweb29.cab[/url]
AhnLab-V3 2007.8.3.0 2007.08.07 -
AntiVir 7.4.0.57 2007.08.07 -
Authentium 4.93.8 2007.08.07 -
Avast 4.7.1029.0 2007.08.07 -
AVG 7.5.0.476 2007.08.07 -
BitDefender 7.2 2007.08.07 -
CAT-QuickHeal 9.00 2007.08.07 -
ClamAV 0.91 2007.08.07 -
DrWeb 4.33 2007.08.07 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5040 2007.08.07 -
Ewido 4.0 2007.08.07 -
FileAdvisor 1 2007.08.07 -
Fortinet 2.91.0.0 2007.08.07 -
F-Prot 4.3.2.48 2007.08.07 -
F-Secure 6.70.13030.0 2007.08.07 -
Ikarus T3.1.1.12 2007.08.07 -
Kaspersky 4.0.2.24 2007.08.07 -
McAfee 5092 2007.08.07 -
Microsoft 1.2704 2007.08.07 -
NOD32v2 2442 2007.08.07 -
Norman 5.80.02 2007.08.07 -
Panda 9.0.0.4 2007.08.07 -
Prevx1 V2 2007.08.07 -
Rising 19.35.12.00 2007.08.07 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.07 -
Symantec 10 2007.08.07 -
TheHacker 6.1.7.163 2007.08.07 -
VBA32 3.12.2.2 2007.08.07 -
VirusBuster 4.3.26:9 2007.08.07 -
Webwasher-Gateway 6.0.1 2007.08.07 -
--------
Не надо меня пугать!!!
08.08.2007, 00:30
V_Bond

тогда лечение можем считать завершенным.....
рекомендуем прочитать [url]http://security-advisory.newmail.ru/[/url]
Вы можете нас отблагодарить [url]http://www.virusinfo.info/showthread.php?t=3519[/url] ....
22.02.2009, 02:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\adsldpcn.exe - [B]Backdoor.Win32.IRCBot.acx[/B] (DrWEB: Trojan.Packed.166)[*] d:\\windows\\system32\\mssrv32.exe - [B]Trojan-Downloader.Win32.Dirat.m[/B] (DrWEB: Trojan.MulDrop.8347)[/LIST][/LIST]