Показано с 1 по 12 из 12.

BackDoor.Pigeon.3347 (заявка № 11649)

  1. #1
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    40

    Thumbs up BackDoor.Pigeon.3347

    Не совсем уверен что поступил правильно, но ситуация следующая:

    в начале месяца сделал проверку по правилам вирусинфо, тогда дрвеб нашел следующую заразу:
    C:\sysukdu.exe инфицирован Trojan.DownLoader.22899 - удален
    C:\WINDOWS\Temp\28.tmp инфицирован Trojan.Proxy.1872 - удален
    C:\WINDOWS\Temp\55.tmp инфицирован Trojan.Proxy.1872 - удален

    и логи АВЗ и hijackthis по правилам.

    Вчера сделал проверку дрвебом повторно и логи тоже, соответственно старых логов теперь нет, а дрвеб нашел только BackDoor.Pigeon.3347 и удалил предыдущие три из папки инфицированных АВЗ

    Логи АВЗ и hijackthis прилагаю

    Для сведения хотелось бы знать как поступать если логи были сделаны ранее, то сначала их отправить даже если прошло пару недель?
    Последний раз редактировалось Rogoff; 11.01.2008 в 08:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Kuma Games\kgsystray\Kuma_tray.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11649

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O23 - Service: Transaction Provisioning Service (duosf) - Unknown owner - C:\WINDOWS\system32\ServerPro.exe (file missing)
    повторите логи.
    Лучше присылать новые логи, сделанные на данный момент,ибо за две недели можно ещё чего словить

  4. #3
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    40
    Судя по логу hijackthis записи заразы остаются, но комп заметно шустрее работать стал

    Да, карантин загружен
    Файл сохранён как 070814_044924_virus_46c0fc2b728af.zip
    Размер файла 1360454
    MD5 5ca17619dea8365ef91bd90fb9a12f8c
    Последний раз редактировалось Rogoff; 11.01.2008 в 08:19.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_QrFile('C:\WINDOWS\hsk.exe');
     BC_DeleteSvc('duosf');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Если попадёт в карантин, то прислать согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11649
    повторите лог hijackthis

  6. #5
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    40
    Карантин сделал, отметил все было Видимо нужно было только то, что связано с hsk.exe?

    Файл сохранён как 070814_073922_virus_46c1240132796.zip
    Размер файла 1360431
    MD5 9c770abe82a4bd4fb858b5722215b625

    В логах hijackthis этот hsk.exe снова в реестр прописывается
    Последний раз редактировалось Rogoff; 11.01.2008 в 08:19.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O23 - Service: wini64 - Unknown owner - C:\WINDOWS\hsk.exe (file missing)
    больше ничего нет подозрительного.

  8. #7
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    40
    т.е. снова логи не надо делать?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    давайте для полного успокоения, весь пакет логов

  10. #9
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    40
    Вот и логи
    Последний раз редактировалось Rogoff; 14.01.2008 в 12:48.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    В логах всё чисто.
    Рекомендую работать под пользователем с ограниченными правами.
    По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
    Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
    Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  12. #11
    Full Member Репутация
    Регистрация
    24.04.2007
    Сообщений
    175
    Вес репутации
    40
    Большое спасибо за помощь, базу в ближайшее время постараюсь создать. Но сначала я решил привести службы в порядок по советам из электронной книги "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и обнаружил службу wini64, которая значится отключенной. Вроде как мы с ней боролись и видимо не все почистили раз она висит в списке служб? Или это просто остаточный след от нее?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    можно её следы удалить,окончательно.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      BC_DeleteSvc('wini64');
    BC_Activate;
    RebootWindows(true);
    end.

  • Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Dr.Web обнаружил BackDoor.Pigeon.27750
      От Beautiful_Liar в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.11.2009, 11:52
    2. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
      От dimonavia в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 11.02.2008, 12:55
    3. Ответов: 6
      Последнее сообщение: 17.08.2007, 07:53
    4. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 01:00
    5. BackDoor.Scard (Backdoor.Win32.Small.bq)
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 11.11.2004, 22:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01308 seconds with 16 queries