Показано с 1 по 19 из 19.

Подхватил что-то отправляющее много почты! (заявка № 12922)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46

    Thumbs up Подхватил что-то отправляющее много почты!

    Всем здравствуйте!
    На компе стоит Симантек Корпоративный.
    В один прекрасный день, с моего компа стал отправляться спам, симантек его перехватывал и блокировал (вроде бы).
    Полная проверка компа симантеком ничего не дала.
    Свежий CureIt нашел и обнаружил несколько зловредов:
    >c:\windows\system32\ati2paag.dll инфицирован Trojan.PWS.GoldSpy.origin - неизлечим - перемещен
    >c:\windows\system32\mssrv32.exe инфицирован Trojan.MulDrop.8347 - удален
    >c:\windows\system32\svchost.exe:exe.exe инфицирован Trojan.DownLoader.34860 - удален
    [Проверяемый путь] C:\
    C:\autorun.inf инфицирован Trojan.Recycle - удален
    >C:\Documents and Settings\Noutbook\Local Settings\Temporary Internet Files\Content.IE5\KZQZ6TIX\xxxxbar[1].htm\JavaScript.0 инфицирован VBS.PackFor
    C:\Documents and Settings\Noutbook\Local Settings\Temporary Internet Files\Content.IE5\KZQZ6TIX\xxxxbar[1].htm - архив содержит инфицированные объекты - перемещен
    C:\Documents and Settings\Noutbook\Local Settings\Temporary Internet Files\Content.IE5\VB2RA5QZ\i[1].htm инфицирован VBS.PackFor - удален
    >C:\Program Files\WinRAR\Dos_US.SFX - ошибка распаковки
    C:\WINDOWS\Downloaded Program Files\popcaploader.dll является потенциально опасной программой Program.PopcapLoader
    C:\WINDOWS\Downloaded Program Files\popcaploader.dll - неизлечим - удален

    Далее перезагрузился и запустил АВЗ, предварительно отключив Авто-протек Симантека. Странно, что когда АВЗ сделал первый скрипт, то Симантек оказался включенным. Еще обратил внимание на то, что при выполнении скриптов галочка стояла только напротив диска С, хотя есть еще и диск D. Это имеет значение?

    Логи прикрепляю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ati2psag.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\MBX@5A0@11626C0.###','');
     DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
    BC_ImportALL;
    BC_DeleteSvc('ati2psag');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Trojan.PWS.GoldSpy.origin - ворует пароли. Пришла пора их менять.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46
    Скрипт выполнил, комп перезагрузился.

    Результат загрузки
    Файл сохранён как 071004_082655_virus_4704ea1f46c2a.zip
    Размер файла 7087
    MD5 70b1482c8d302dfddccf71fe65d09845

    Файл закачан, спасибо!

    Добавлено через 1 минуту

    PavelA, спасибо, пренепременно поменяем-с! )
    Последний раз редактировалось Kirill_sv; 04.10.2007 в 16:28. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Это был Trojan-Spy.Win32.Banker.ekk по Касперскому.
    Сделайте новые логи, надо убедиться, что он именно был.

    Добавлено через 9 минут

    А тот файлик с интересным именем отправлен на анализ в ЛК.
    Подождем вердикт.

    Добавлено через 26 минут

    Ответ пришел - вредоносный код не обнаружен.
    Последний раз редактировалось Bratez; 04.10.2007 в 17:13. Причина: Добавлено
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46
    Прикладываю новые логи.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  9. #8
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46
    Выполнил скрипт, комп перезагрузился, но содержание карантина вроде не изменилось

    Добавлено через 39 секунд

    Результат загрузки
    Файл сохранён как 071004_101304_virus_4705030072a3d.zip
    Размер файла 7113
    MD5 67c78c2a786ccc73b62a7a90ec642496

    Файл закачан, спасибо!
    Последний раз редактировалось Kirill_sv; 04.10.2007 в 18:13. Причина: Добавлено

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ...

  11. #10
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46
    Кстати, вирус появился после посещения сайта ЗАО АКГ ИНАУДИТ http://www_inaudit_spb_ru ( _ заменить на . )

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46
    Новые логи

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ..
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');     
     DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;     
     RebootWindows(true);
    end.
    сделайте лог (стандартный скрипт3) ...

  14. #13
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46
    Что-то комп завис после скрипта, симантек этот как-то хреново отрубается, снимаешь галку с Энэйбл авто-протект, потом смотрю - а он включен почему-то, странно.
    вот лог:

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    сейчас в логах чисто .... завис скорее связан с не отключенным антивирусом ...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    в логах ничего подозрительного нет.
    что из этого вам нужно?остальное исправим
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  17. #16
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46
    Большое спасибо Bratez, V_Bond, PavelA, Muzzle за помощь!

    Вот это точно не нужно, остальное нужно посмотреть что значит:
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Отключаем то что "точно не нужно" ....
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    RebootWindows(true);
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    10.08.2005
    Сообщений
    66
    Вес репутации
    46
    Еще раз большое спасибо всем за помощь!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ati2psag.sys - Trojan-Banker.Win32.Banker.ekk (DrWEB: BackDoor.Haxdoor.470)


  • Уважаемый(ая) Kirill_sv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. много много процессов + блокировка доступа на ваш ресурс (заявка №64965)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 12.04.2011, 20:00
    2. Что-то подхватил...
      От zonderz в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.12.2009, 09:51
    3. Ответов: 8
      Последнее сообщение: 22.02.2009, 01:36
    4. Что ж я подхватил...
      От DenODen в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 22.02.2009, 01:27
    5. Ответов: 2
      Последнее сообщение: 22.11.2007, 21:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01390 seconds with 16 queries