Показано с 1 по 8 из 8.

Trojan Win32.Injector.HOW модифицированный (заявка № 105578)

  1. #1
    Junior Member Репутация
    Регистрация
    12.07.2011
    Сообщений
    12
    Вес репутации
    47

    Exclamation Trojan Win32.Injector.HOW модифицированный

    Trojan Win32.Injector.HOW модифицированный
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    Антивирус Nod32 через некоторое время после загрузки выдает 3 сообщения
    модифицированный о вирусе Win32/Injector.HOW
    1). файл http: // pogledajte.fileave.com/0e1ea31431b23fdc159ffed5fed1bd5b.exe[/url] модифицированный Win32/Injector.HOW троян PC\User
    2). файл C:\Documents and Settings\User\Application Data\25.exe модифицированный Win32/Injector.HOW троян изолирован - удален PC\User Событие в новом файле, созданном приложением C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно.
    3). и еще tmp создает - тоже выдает примерно такое сообщение (в логе нет

    Иногда выдает такое сообщение:
    файл c:\documents and settings\user\application data\mibubg.exe модифицированный Win32/Injector.HOW троян

    В процессе работы (без перезагрузки) эти сообщения антивирусника продолжаются, но генерятся другие имена файлов, например (AMON файл C:\Documents and Settings\User\Application Data\167A.exe модифицированный Win32/Injector.HOW троян изолирован - удален PC\User Событие в новом файле, созданном приложением C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно. )

    еще создается файл start0.exe в каталоге: c:\Documents and Settings\User\Start Menu\Programs\Setup
    ну и подозрительный процесс появляется svchoost.exe - который периодически приходится снимать. Но ничего не помогает (Ни DrWeb CureIt! ни сканирование Nod32)

    И еще один момент заметил в NOD32 в IMON вкладка HTTP - Совместимость клиента
    добавляется строчка:
    Ufasoft bitcoin-miner/0.14 - svchoost.exe - Высокая совместимость
    т.е. он себя добавляет и в исключения NOD32.
    Удаляю в реестре. Перегружаю комп - нету.
    Через некоторое время (3-5 мин) - после того NOD32 ругается по поводу вируса,
    захожу к нему во вкладку и обнаруживаю опять эту строчку.

    Поймал вирус 7.07.2011 - после безуспешных поисков по инету о данной модификации вируса (HOW) обратился к Вам.

    За ранее спасибо!
    С уважением, Алексей
    Последний раз редактировалось beerliker; 12.07.2011 в 16:37.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\svcnet32.dll','');
     QuarantineFile('C:\Documents and Settings\User\Application Data\Mibubg.exe','');
     QuarantineFile('C:\Documents and Settings\User\ctfmon.exe','');
     DeleteFile('=.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
     DeleteFile('C:\Documents and Settings\User\ctfmon.exe');
     DeleteFile('C:\Documents and Settings\User\Application Data\Mibubg.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mibubg');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=105578

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. Это понравилось:


  5. #3
    Junior Member Репутация
    Регистрация
    12.07.2011
    Сообщений
    12
    Вес репутации
    47
    Спасибо!
    Вроде после применения скрипта вирус "отстал" - пока не замечен!

    Хороший сайт!
    Будем обращаться и другим советовать

  6. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    А это?
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #5
    Junior Member Репутация
    Регистрация
    12.07.2011
    Сообщений
    12
    Вес репутации
    47
    Мои 1000 извинений.
    На радостях не дочитал до конца про новые логи
    Вложения Вложения

  8. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В HiJackThis пофиксите:

    Код:
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) - - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O15 - Trusted Zone: http://software.kuaiche.com
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svcnet32.dll','');
     DeleteFile('C:\WINDOWS\system32\svcnet32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.

    После перезагрузки повторите логи.
    Paula rhei.
    Поддержать проект можно тут

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    12.07.2011
    Сообщений
    12
    Вес репутации
    47
    Файлы прилагаю.
    Вложения Вложения

  11. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) beerliker, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 16.07.2011, 15:09
    2. Ответов: 11
      Последнее сообщение: 09.03.2010, 20:00
    3. модифицированный Win32/Injector.JM троян
      От loGan88 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.02.2009, 20:57
    4. Модифицированный Win32/Injector.Z
      От call03 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01317 seconds with 18 queries