Показано с 1 по 11 из 11.

Trojan.Win32.Banker (заявка № 11830)

  1. #1
    Junior Member Репутация
    Регистрация
    29.09.2005
    Сообщений
    31
    Вес репутации
    68

    Thumbs up Trojan.Win32.Banker

    Поймал вот Trojan.Win32.Banker. Где не знаю. Почему его пропустил Dr.Web тоже загадка.

    Проявляет себя следующим образом: Отключает виндосовский файервол, создал в корне диска "C" ряд файлов (1.tmp, 2.tmp, ... ), в автозагрузку добавился файл ntos.exe

    Помогите, пожалуйста, справиться.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\stmctrl.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
     QuarantineFile('C:\DOCUME~1\05EE~1\LOCALS~1\Temp\CmdLineExt02.dll','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11830

    P.S.Вообще-то не понятно чему вы удивляетесь Я не удивляюсь Попробуйте наконец то что я советую многим, должно помочь :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)

    P.P.S.фаервол от винды слишком слаб, желательно в боевых условиях пользоваться более мощными средствами. Попробуйте хотя-бы бесплатный comodo , у меня он не задержался на компе, может у вас задержится
    Последний раз редактировалось drongo; 20.08.2007 в 18:27.

  4. #3
    Junior Member Репутация
    Регистрация
    29.09.2005
    Сообщений
    31
    Вес репутации
    68
    Карантин отправил.

    Я в общем-то не удивляюсь, просто год жил без проблем с Вэбом... А тут вроде ничего подозрительного или потенциально опасного не открывал и сватил вирус.
    Кстати, после удаления ntos.exe симптомы прошли.
    И что делать с файлами в корне диска (2.tmp, ...)?

    p.s. Я забыл при получении логов оставить запущенным IE. Может стоит ещё раз логи повторить.

    p.p.s. На тех нескольких ресурсах, где у меня стоял автологин, сейчас я разлогинен. Стоит, наверное, поменять пароли?
    Последний раз редактировалось favarit; 20.08.2007 в 18:44.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Повторить можно, насчёт темпов, парочку запаковать в zip с паролем virus и тоже послать
    drweb тут не поможет, когда он его не знает Можете им послать тоже.А вот то что я написал:
    Код:
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    , поможет с любым антивирусом и даже без него

  6. #5
    Junior Member Репутация
    Регистрация
    29.09.2005
    Сообщений
    31
    Вес репутации
    68
    Архив с темпами отправил.
    Сейчас сделаю новые логи, посмотрите их, пожалуйста.

  7. #6
    Junior Member Репутация
    Регистрация
    29.09.2005
    Сообщений
    31
    Вес репутации
    68
    Вот новые логи. Посмотрите, не осталось ли чего.

    А можно немного подробнее про "1) Работать за компьютером с правами ограниченного пользователя."
    Вложения Вложения

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    29.09.2005
    Сообщений
    31
    Вес репутации
    68
    drongo, посмотрите последние логи, плиз. А то вдруг осталось что.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от favarit Посмотреть сообщение
    drongo, посмотрите последние логи, плиз. А то вдруг осталось что.
    Больше ничего интересного, желательно отключить лишние сервисы виндоуса- только пойдёт на пользу : и дырок меньше и машинка чуть быстрее будет бегать.
    например вот эти смело остановить:
    Код:
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

  11. #10
    Junior Member Репутация
    Регистрация
    29.09.2005
    Сообщений
    31
    Вес репутации
    68
    drongo, спасибо большое за помощь и советы.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Proxy.2003)
      2. \\virus\\2 (1).#mp - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Proxy.2003)
      3. \\virus\\2.#mp - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Proxy.2003)


  • Уважаемый(ая) favarit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-Banker.Win32.Banker.aniu
      От fabio_yoko в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 10.10.2009, 01:13
    2. Еще раз о Win32.Banker.FS Trojan.SpyAgent.Da.
      От Wilbour Wonka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:24
    3. Trojan.Win32.Banker
      От User007 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:11
    4. Trojan-Spy.Win32.Banker.fov
      От gadyuka в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:49
    5. Win32.Banker.FS Trojan.SpyAgent.Da
      От freecorn в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.03.2008, 16:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00304 seconds with 18 queries