Показано с 1 по 14 из 14.

Нейросеть: файл с вероятностью 99.55% похож... (заявка № 10275)

  1. #1
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    62

    Exclamation Нейросеть: файл с вероятностью 99.55% похож...

    Здравствуйте! суть моя такова:

    AVZ предупрелил:
    C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>>> Поведенческий анализ:
    1. Реагирует на события: клавиатура, мышь, оконные события
    C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>>> Нейросеть: файл с вероятностью 99.55% похож на типовой перехватчик событий клавиатуры/мыши
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    и
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 317 описаний портов
    На данном ПК открыто 30 TCP портов и 11 UDP портов
    >>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
    Как это удалить подскажите, уже многое перепробовал.

    Заранее Спасибо.
    Последний раз редактировалось Saimon; 09.06.2007 в 15:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Пришлите файл C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll как написано в приложении 2 правил.

    2. Отключите следующие службы:
    Служба обнаружения SSDP
    Узел универсальных PnP-устройств

    3. Скачайте свежую версию AVZ 4.25, обновите ее базы и сделайте
    оба лога AVZ по правилам.
    Последний раз редактировалось Bratez; 09.06.2007 в 14:20. Причина: уточнение :)
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    62
    1. прислал.
    2. +
    3. +

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Saimon,новые логи от AVZ должны быть прикреплены к теме, а старые логи должны быть удалены. Ничего из этого вы пока не сделали.

  6. #5
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    62
    вот..
    А сам сам файл загрузил как в приложении 2.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    SysWFGQQ2.dll - Trojan-PSW.Win32.QQPass.wh

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll');
     BC_DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Во время выполнения логов карантин пополнился, пришлите его согласно приложению 3 правил.

    Базы AVZ обновите!!
    I am not young enough to know everything...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\svchost.exe','');
     QuarantineFile('c:\windows\system32\caprpcsk.exe','');
     QuarantineFile('C:\WINDOWS\expimg.exe','');
     QuarantineFile('C:\WINDOWS\System32\zdPrypt.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите весь карантин, кроме тех файлов которые уже загружали.

    http://virusinfo.info/upload_virus.php?tid=10275

    Похоже сам експлорер у вас затрояненый

  9. #8
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    62
    базы обновил +

    первый скрипт выполнился без ошибок, перезагрузился удачно.
    второй скрипт выполнился без ошибок, "доперезагрузиться" не смог, оставив висеть только обои с Латицией Каста и белый курсорчик мыши. помог RESET.

    карантин прикрепил через
    http://virusinfo.info/upload_virus.php?tid=10275

    Ой, сорри закачал предыдушие файлы опять(вместе с новыми).

    P.S. Ура! один вроди бы готов. файла SysWFGQQ2.dll в директории C:\Program Files\Common Files\Microsoft Shared\MSINFO нет.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    C:\WINDOWS\system32\tmp_4.dll - Trojan-Downloader.Win32.Small.cyn
    C:\WINDOWS\system32\msvcrl.dll,
    C:\Documents and Settings\NNN\Local Settings\Temp\pda4BB.tmp,
    C:\Program Files\Internet Explorer\iexplore.exe - Trojan-Spy.Win32.Goldun.ms
    остальное чистое.
    У вас есть под рукой дистрибутив вашей версии Windows?
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    62
    Дистр-ва нет. Машина рабочая, установлена ОС была задолго до моего принятия на работу.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Тогда так:
    1. Скачайте утилиту HaxFix.
    2. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\NNN\Local Settings\Temp\pda4BB.tmp');
    DeleteFile('C:\WINDOWS\system32\msvcrl.dll');
    DeleteFile('C:\WINDOWS\system32\tmp_4.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится и IE перестанет запускаться.

    3. Установите утилиту, запустите и выберите автоматический фикс.
    IE должен быть вылечен.

    Все-таки 100% гарантии по 3-му пункту нет, так что вероятно стоит запастись дистрибутивом какого-либо альтернативного браузера.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    62
    1. +
    2. +
    3. + (вылечился.. заражённый файл iexplore.old удалил).

    Спасибо огромное! Всё чисто.

    Единственное что вызывает опасение:

    На данном ПК открыто 18 TCP портов и 10 UDP портов
    >>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    >>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
    Об этом я уже писал:

    Отключите следующие службы:
    Служба обнаружения SSDP
    Узел универсальных PnP-устройств
    I am not young enough to know everything...

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\nnn\\local settings\\temp\\pda4bb.tmp - Trojan-Spy.Win32.Goldun.ms (DrWEB: Trojan.PWS.GoldSpy)
      2. c:\\program files\\common files\\microsoft shared\\msinfo\\syswfgqq2.dll - Trojan-PSW.Win32.QQPass.wh (DrWEB: Trojan.PWS.Qqpass.831)
      3. c:\\program files\\internet explorer\\iexplore.exe - Trojan-Spy.Win32.Goldun.ms (DrWEB: Trojan.PWS.GoldSpy)
      4. c:\\windows\\expimg.exe - HEUR:Trojan.Win32.Generic
      5. c:\\windows\\system32\\msvcrl.dll - Trojan-Spy.Win32.Goldun.ms (DrWEB: Trojan.PWS.GoldSpy)
      6. c:\\windows\\system32\\tmp_4.dll - Trojan-Downloader.Win32.Small.vwd (DrWEB: Trojan.DownLoader.14310)


  • Уважаемый(ая) Saimon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Очень похож на Trojan.MBRlock.6
      От zloi в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.05.2012, 00:14
    2. Ответов: 5
      Последнее сообщение: 01.04.2010, 16:59
    3. Ответов: 13
      Последнее сообщение: 27.10.2008, 21:32
    4. нейросеть 50%
      От Renni в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.06.2008, 03:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00917 seconds with 20 queries