Показано с 1 по 18 из 18.

ПО Hidden object (модификация) (заявка № 10783)

  1. #1
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39

    Thumbs up ПО Hidden object (модификация)

    03.07.2007 10:06:38 Процесс C:\WINDOWS\system32\mssync20.exe, обнаружено: потенциально опасное ПО Hidden object (модификация)
    virusinfo_syscure.zip

    virusinfo_syscheck.zip

    hijackthis.log
    Последний раз редактировалось OlgaHelga; 03.07.2007 в 12:11. Причина: Новые логи

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    уберите карантин из сообщения (virusinfo_cure.zip) и прикрепите логи как положено по правилам.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('swmclip.dll','');
     QuarantineFile('svchоst.exe','');
     QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
     QuarantineFile('C:\WINDOWS\system32\msicuic.dll','');
     QuarantineFile('C:\WINDOWS\system32\mssync20.exe','');
     QuarantineFile('\??\C:\WINDOWS\system32\mssync20.sys','');
     DeleteFile('swmclip.dll');
     DeleteFile('C:\WINDOWS\system32\mssync20.exe');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    пофиксите
    Код:
    O15 - Trusted Zone: apps.centercredit.kz
    O16 - DPF: PrivateWire - http://apps.centercredit.kz/jpw.cab

  4. #3
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39
    Не знаю, как убрать карантин...
    Логи правильно прикрепила?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от OlgaHelga Посмотреть сообщение
    Не знаю, как убрать карантин...
    Логи правильно прикрепила?
    Через Управление вложениями.
    Должен быть еще virusinfo_syscheck.zip.

  6. #5
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Через Управление вложениями.
    Должен быть еще virusinfo_syscheck.zip.
    Не знаю, где вязть этот файл...

    из 10-ого пункта правил. Как выполнишь, так и появиться - магия однако
    Последний раз редактировалось drongo; 03.07.2007 в 08:12.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от OlgaHelga Посмотреть сообщение
    Не знаю, где вязть этот файл
    Ладно, пока не нужно. Пришлите карантин после скрипта Muzzle.

    Добавлено через 9 минут
    Еще есть подозрительные файлы.
    Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mssync20.dll','');
     QuarantineFile('C:\WINDOWS\system32\msstub.dll','');
     QuarantineFile('C:\WINDOWS\system32\mssync20.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин согласно приложению 3 правил.
    Последний раз редактировалось Bratez; 03.07.2007 в 08:06. Причина: Добавлено сообщение
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39
    Вроде бы всё сделала, как Вы советовали. Посмотрите пожалуйста.
    СПАСИБО Вам за помощь.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Цитата Сообщение от OlgaHelga Посмотреть сообщение
    Вроде бы всё сделала, как Вы советовали. Посмотрите пожалуйста.
    СПАСИБО Вам за помощь.
    Что-то у вас понимание прочитанного хромает.Делать и присылать по правилам, дополнение 3 . Присылать карантин только по ссылке в шапке :http://virusinfo.info/upload_virus.php?tid=10783
    Может на английском будет лучше, на русском у вас не очень выходит. : http://virusinfo.info/showthread.php?t=9184
    Последний раз редактировалось drongo; 03.07.2007 в 08:37.

  10. #9
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39
    Цитата Сообщение от drongo Посмотреть сообщение
    Что-то у вас понимание прочитанного хромает.Делать и присылать по правилам, дополнение 3 . Присылать карантин только по ссылке в шапке :http://virusinfo.info/upload_virus.php?tid=10783
    Может на английском будет лучше, на русском у вас не очень выходит. : http://virusinfo.info/showthread.php?t=9184
    Прислала по правилам.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\msicuic.dll');
     DeleteFile('C:\WINDOWS\system32\msindeo.dll');
     DeleteFile('C:\WINDOWS\system32\mssync20.exe');
     DeleteFile('svchоst.exe');
     DeleteFile('swmclip.dll');
     DeleteFile('C:\WINDOWS\system32\msstub.dll');
     DeleteFile('C:\WINDOWS\system32\mssync20.dll');
     BC_ImportDeletedList;
     BC_DeleteSvc('mssync2020');
     BC_DeleteFile('C:\WINDOWS\system32\mssync20.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing)
    O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - C:\WINDOWS\system32\msstub.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [NeroFilterCheck] svchоst.exe
    O20 - AppInit_DLLs: C:\WINDOWS\system32\msicuic.dll
    O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll (file missing)
    O21 - SSODL: VStorage - {5BE5BC79-82C9-472A-85CA-55B9A8FB2E2D} - swmclip.dll (file missing)
    (некоторых строк может не оказаться).
    Затем перезагрузитесь и сделайте новые логи (п.8-13 правил).
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39
    Сделала новые логи.. Посмотрите пожалуйста.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\System32\smss.exea','');
    DeleteFile('C:\WINDOWS\System32\smss.exea');
    BC_DeleteFile('C:\WINDOWS\System32\smss.exea');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите файл согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    и повторите лог HijackThis

  14. #13
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39
    Цитата Сообщение от Muzzle Посмотреть сообщение
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\System32\smss.exea','');
    DeleteFile('C:\WINDOWS\System32\smss.exea');
    BC_DeleteFile('C:\WINDOWS\System32\smss.exea');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите файл согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    и повторите лог HijackThis
    Запрашиваемый файл находит, но скопировать его в карантин не удается!!!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    вы скрипт выполняли? и где лог HijackThis?

  16. #15
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39
    Цитата Сообщение от Muzzle Посмотреть сообщение
    вы скрипт выполняли? и где лог HijackThis?
    Да я выполнила скрипт.hijackthis.log

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    всё чисто
    Желательно работать под пользователем с ограниченными правами.
    По возможности не использовать IE,а пользоваться другими браузерам,например Opera,Firefox (с отключенными скриптами)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  18. #17
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    9
    Вес репутации
    39
    Цитата Сообщение от Muzzle Посмотреть сообщение
    всё чисто
    Желательно работать под пользователем с ограниченными правами.
    По возможности не использовать IE,а пользоваться другими браузерам,например Opera,Firefox (с отключенными скриптами)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

    СПАСИБО ОГРОМНОЕ ЗА ВАШЕ ТЕРПЕНИЕ И ПОНИМАНИЕ КО МНЕ, КАК К ЮЗЕРУ, ПРИ ОКАЗАНИИ ПОМОЩИ!!!

    Добавлено через 1 минуту
    Цитата Сообщение от Bratez Посмотреть сообщение
    Через Управление вложениями.
    Должен быть еще virusinfo_syscheck.zip.
    спасибо!!!!

    Добавлено через 1 минуту
    Цитата Сообщение от drongo Посмотреть сообщение
    Что-то у вас понимание прочитанного хромает.Делать и присылать по правилам, дополнение 3 . Присылать карантин только по ссылке в шапке :http://virusinfo.info/upload_virus.php?tid=10783
    Может на английском будет лучше, на русском у вас не очень выходит. : http://virusinfo.info/showthread.php?t=9184
    сПАСИБО
    Последний раз редактировалось OlgaHelga; 03.07.2007 в 15:18. Причина: Добавлено сообщение

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. \\avz00001.zip - Trojan-Spy.Win32.Goldun.pq (DrWEB: archive: Trojan.PWS.GoldSpy)
      2. c:\\windows\\system32\\msicuic.dll - Trojan-Spy.Win32.Goldun.pq (DrWEB: Trojan.PWS.GoldSpy)
      3. c:\\windows\\system32\\mssync20.dll - Trojan-Spy.Win32.Agent.aar (DrWEB: Trojan.BhoSpy)
      4. c:\\windows\\system32\\mssync20.sys - Trojan-Spy.Win32.Agent.kd (DrWEB: Trojan.NtRootKit.297)


  • Уважаемый(ая) OlgaHelga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Hidden Object (Модификация)
      От sagitaria в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 09:01
    2. 'Hidden.Object' (модификация)
      От Vilgelm в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 09:00
    3. Hidden.Object (модификация)
      От Daiveres в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 03:18
    4. Hidden.Object (модификация)
      От unnmd в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.10.2008, 08:05
    5. Hidden.Object (модификация)
      От sssssd в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.04.2008, 15:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01359 seconds with 17 queries