Показано с 1 по 3 из 3.

помогите избавиться malware Torpig (заявка № 103281)

  1. #1
    Junior Member Репутация
    Регистрация
    08.06.2011
    Сообщений
    2
    Вес репутации
    25

    помогите избавиться malware Torpig

    Регулярно попадаю в блэк лист DNSBL http://cbl.abuseat.org/

    в сообщении ниже указывается зараза, даже две - Torpig и руткит Mebroot.
    Антивирусы никак не реагируют в локалке логировать с шлюза возможности нет пока, стоит только маршрутизатор.
    Как это дело вычистить.
    в данный момент наткнулся на утилиту Torpig Removal Tool, посмотрим будет ли результат.

    Комрады, есть предложения со скриптами через AVZ?

    Скрытый текст

    Оригинал сообщения от CBL

    IP Address **.**.38.88 is listed in the CBL. It appears to be infected with a spam sending trojan or proxy.
    It was last detected at 2011-06-08 00:00 GMT (+/- 30 minutes), approximately 4 hours, 30 minutes ago.
    It has been relisted following a previous removal at 2011-06-07 09:02 GMT (19 hours, 47 minutes ago)
    This IP is infected with, or is NATting for a machine infected with Torpig, also known by Symantec as Anserin.
    This was detected by observing this IP attempting to make contact to a Torpig Command and Control server at 91.20.221.208, with contents unique to Torpig C&C command protocols.
    Torpig is a banking trojan, specializing in stealing personal information (passwords, account information, etc) from interactions with banking sites.
    Torpig is normally dropped by Mebroot. Mebroot is a Rootkit that installs itself into the MBR (Master Boot Record).
    With Mebroot or any other rootkit that installs itself into the MBR, you will either have to use a "MBR cleaner" or reformat the drive completely - even if you manage to remove Torpig, the MBR infection will cause it to be reinfected again.
    The best way to find the machine responsible is to look for connections to the Torpig C&C server. This detection was made through a connection to 91.20.221.208, but this changes periodically. To find these infections, we suggest you search for TCP/IP connections to the range 91.19.0.0/16 and 91.20.0.0/16 (in other words: 91.19.0.0-91.20.255.255) usually destination port 80 or 443, but you should look for all ports. This detection corresponds to a connection at 2011-06-08 00:15:35 (GMT - this timestamp is believed accurate to within one second).
    These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.
    You will need to find and eradicate the infection before delisting the IP address.
    We strongly recommend that you DO NOT simply firewall off connections to the sinkhole IP addresses given above. Those IP addresses are of sinkholes operated by malware researchers. In other words, it's a "sensor" (only) run by "the good guys". The bot "thinks" its a command and control server run by the spambot operators but it isn't. It DOES NOT actually download anything, and is not a threat. If you firewall it, your IPs will remain infected, and they will still be able to download from real command & control servers run by the bot operators.
    If you do choose to firewall these IPs, PLEASE instrument your firewall to tell you which internal machine is connecting to them so that you can identify the infected machine yourself and fix it.
    We are enhancing the instructions on how to find these infections, and more information will be given here as it becomes available.
    Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent.
    This means: if you have port 25 blocking enabled, do not take this as indication that your port 25 blocking isn't working.
    The links above may help you find this infection. You can also consult Advanced Techniques for other options and alternatives.
    Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total.
    Thus: having your anti-virus software doesn't find anything doesn't prove that you're not infected.
    While we regret having to say this, downloaders will generally download many different malicious payloads. Even if an Anti-Virus product finds and removes the direct threat, they will not have detected or removed the other malicious payloads. For that reason, we recommend recloning the machine - meaning: reformatting the disks on the infected machine, and re-installing all software from known-good sources.
    WARNING: If you continually delist 195.206.38.88 without fixing the problem, the CBL will eventually stop allowing the delisting of 195.206.38.88. If you have resolved the problem shown above and delisted the IP yourself, there is no need to contact us.
    [свернуть]
    Скрыть





    Добавлено через 2 часа 42 минуты

    утилита пару библиотек нашла, а также заругалась на vnc и radmin но за работу бабла попросила
    Последний раз редактировалось thyrex; 09.06.2011 в 13:00.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) mozg777, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) mozg777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. malware Torpig
      От mozg777 в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 08.06.2011, 13:03
    2. Помогите избавиться от Malware doctor
      От Lipa в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 18.06.2009, 21:17
    3. Помогите избавиться от Malware Doctor
      От Alex Sword в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.05.2009, 12:24
    4. Malware Doctor. Как избавиться?
      От Avrih в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 24.05.2009, 17:28
    5. Помогите избавиться от VBS:Malware-gen
      От эдя в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.11.2008, 22:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00471 seconds with 16 queries