Показано с 1 по 12 из 12.

P2P-Worm.Win32.Palevo.cjsh (заявка № 117900)

  1. #1
    Junior Member Репутация
    Регистрация
    14.03.2012
    Сообщений
    6
    Вес репутации
    44

    P2P-Worm.Win32.Palevo.cjsh

    Добрый день!
    В сети есть файловый сервер с расшареными папки(доступ на запись имеют все пользователи). Сервер инфицирован P2P-Worm.Win32.Palevo.cjsh(OutPost определил как Trojan.Kryptik!CwSAH0NMZ00), как и все машины в сети. Попытка чистки всех компьютеров с помощью LiveCD не увенчалась успехом и было потрачено много времени. Вирус успешно удалял на сервере как OutPost так и Avast, но после подключения к сети происходило повторное заражение, настройки фаерволов не помогали. Цель обращения найти оптимальное способ борьбы конкретно с этим вирусом. Был специально инфицирован компьютер логи с него во вложение.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) wersis, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    14.03.2012
    Сообщений
    6
    Вес репутации
    44
    логи
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Здравствуйте.

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     TerminateProcessByName('c:\documents and settings\all users\application data\srtserv\1111.exe');
     QuarantineFile('C:\WINDOWS\system32\hnetcfg.dll','');
     QuarantineFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP22\A0034232.dll','');
     QuarantineFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP22\A0034225.dll','');
     QuarantineFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP22\A0034220.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\1111.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\1111.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
     DeleteFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP22\A0034220.dll');
     DeleteFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP22\A0034225.dll');
     DeleteFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP22\A0034232.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    14.03.2012
    Сообщений
    6
    Вес репутации
    44
    загрузил

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    А повторные логи?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    14.03.2012
    Сообщений
    6
    Вес репутации
    44
    готово
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP22\A0034238.dll');
     DeleteFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP23\A0034244.dll');
     DeleteFile('C:\System Volume Information\_restore{FC87925C-A3CC-4734-B852-ECF48A6C4F72}\RP23\A0034249.dll');
     DeleteFile('C:\WINDOWS\system32\cpldapu\produkey.exe');
    BC_ImportDeletedList;
     ExecuteRepair(10);
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Отключите Восстановление системы (Приложение 1 правил).
    Перезагрузите компьютер и снова включите Восстановление системы.

    Сделайте заново лог virusinfo_syscure.zip (пункт 1 раздела Диагностика правил) и приложите в теме.

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
     ClearQuarantine;  
     ExecuteAVUpdate;
     ExecuteStdScr(4);
    end.
    Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
    После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
    Загрузите этот файл по этой ссылке:
    http://virusinfo.info/upload_clean.php
    По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    14.03.2012
    Сообщений
    6
    Вес репутации
    44
    лог
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    14.03.2012
    Сообщений
    6
    Вес репутации
    44
    Файл сохранён как 120315_131355_virusinfo_files_HOMEPC_4f61eb132ce11 .zip
    Размер файла 44113941
    MD5 2587fd7ccf50d733a64c14b682392853

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    По логу и загруженному архиву у меня больше подозрений нет.
    Аномалии еще наблюдаются?

    На этом компьютере было:
    C:\Documents and Settings\All Users\Application Data\srtserv\1111.exe --- P2P-Worm.Win32.Palevo.cjsh

    C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll
    а так же попавшие в карантин из папки C:\System Volume Information --- Trojan.Win32.Agent2.decp

    Все файлы детектируются и должны удаляться свежескачанными AVPTool или Dr.Web CureIt.
    После лечения рекомендую отключить, затем включить Восстановление системы как выше было описано.

    P2P-Worm.Win32.Palevo.cjsh - это червь, распространяющийся через пиринговые файлообменные сети.
    Описания именно этого экземпляра нет, но есть похожее из этого семейства:
    http://www.securelist.com/ru/descrip...Win32.Palevo.a

    Для предупреждения повторного заражения сервера рекомендую:
    Установить все сервиспаки и обновления безопасности для ОС сервера и программ, использующих сеть ( а так же для каждого конкретного компьютера в сети).
    Удалить с сервера все пиринговые программы, если они там есть (если нет необходимости в них).

    Если в дальнейшем именно с этим компьютером будут проблемы, продолжайте в этой теме.
    Для других компьютеров создавайте отдельные темы в этом разделе, для каждого отдельную.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\application data\\srtserv\\sdata.dll - Trojan.Win32.Agent2.decp ( DrWEB: Trojan.Siggen2.28594, BitDefender: Worm.Generic.315783, NOD32: Win32/AutoRun.Delf.DK worm, AVAST4: Win32:AutoRun-BYE [Wrm] )
      2. c:\\documents and settings\\all users\\application data\\srtserv\\1111.exe - P2P-Worm.Win32.Palevo.cjsh ( DrWEB: BackDoor.Pushnik.21, BitDefender: Gen:Variant.Kazy.18560, NOD32: Win32/AutoRun.Delf.DK worm, AVAST4: Win32:Trojan-gen )
      3. c:\\system volume information\\_restore{fc87925c-a3cc-4734-b852-ecf48a6c4f72}\\rp22\\a0034220.dll - Trojan.Win32.Agent2.decp ( DrWEB: Trojan.Siggen2.28594, BitDefender: Worm.Generic.315783, NOD32: Win32/AutoRun.Delf.DK worm, AVAST4: Win32:AutoRun-BYE [Wrm] )
      4. c:\\system volume information\\_restore{fc87925c-a3cc-4734-b852-ecf48a6c4f72}\\rp22\\a0034225.dll - Trojan.Win32.Agent2.decp ( DrWEB: Trojan.Siggen2.28594, BitDefender: Worm.Generic.315783, NOD32: Win32/AutoRun.Delf.DK worm, AVAST4: Win32:AutoRun-BYE [Wrm] )
      5. c:\\system volume information\\_restore{fc87925c-a3cc-4734-b852-ecf48a6c4f72}\\rp22\\a0034232.dll - Trojan.Win32.Agent2.decp ( DrWEB: Trojan.Siggen2.28594, BitDefender: Worm.Generic.315783, NOD32: Win32/AutoRun.Delf.DK worm, AVAST4: Win32:AutoRun-BYE [Wrm] )


  • Уважаемый(ая) wersis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 21.04.2011, 21:51
    2. p2p-worm.win32.palevo
      От bo4karev в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.02.2011, 23:45
    3. P2P-Worm.Win32.Palevo.yii
      От jltfor41 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.03.2010, 18:51
    4. P2P-Worm.Win32.Palevo.ipn
      От asrulaa в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 04.09.2009, 13:32
    5. P2P-Worm.Win32.Palevo.coa ?
      От groks в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 04.04.2009, 11:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00396 seconds with 20 queries