Показано с 1 по 15 из 15.

warning!Potential Spyware Operation! (заявка № 13320)

  1. #1
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    6
    Вес репутации
    38

    Exclamation warning!Potential Spyware Operation!

    Добрый день! Подхватил вирусы. После сканирования NOD32 нашло 3 трояна. Система переодически выдает warning!Potential Spyware Operation! И при входе в настройку системы - права закрыты администратором. При перезагрузке в эксплорере посоянно устанавливается стартовой google. Логи прилагаются. Заранее благодарен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор
    Пофиксите с помощью hijackthis строки:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://evmhedf.footchild.cn/?262495014733
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://evmhedf.footchild.cn/?262495014733
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\printer.exe
    O4 - HKLM\..\Run: [Winmplayer] "C:\WINNT\system32\KB_963491.exe"
    O4 - HKLM\..\Run: [winptr] C:\WINNT\winptr.exe
    O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
    O4 - HKLM\..\Run: [Project1] C:\windows\system32\winload
    O4 - HKLM\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
    O4 - HKCU\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
    O4 - Startup: system.exe
    O4 - Global Startup: msn_0710_upd152301.exe
    O4 - Global Startup: autorun.exe
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: C:\WINNT\system32\sulimo.dat
    O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll (file missing)
    O23 - Service: Windows Network Serialize - Unknown owner - C:\WINNT\system32\mswns32.exe (file missing)
    Обратите внимание, одна строчка - сервис, фиксится через отдельное меню
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\app.exe','');
     QuarantineFile('C:\windows\system32\winload','');
     QuarantineFile('C:\WINNT\winptr.exe','');
     QuarantineFile('C:\WINNT\system32\sulimo.dat','');
     QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
     QuarantineFile('C:\WINNT\system32\KB_963491.exe','');
     QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe','');
     QuarantineFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll','');
     QuarantineFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe','');
     QuarantineFile('C:\WINNT\system32\printer.exe','');
     QuarantineFile('c:\winnt\system32\printer.exe','');
     DeleteFile('c:\winnt\system32\printer.exe');
     BC_DeleteFile('c:\winnt\system32\printer.exe');
     DeleteFile('C:\WINNT\system32\printer.exe');
     BC_DeleteFile('C:\WINNT\system32\printer.exe');
     DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe');
     BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\msn_0710_upd152301.exe');
     DeleteFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Документы\Settings\partnership.dll');
     DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\autorun.exe');
     BC_DeleteFile('C:\Documents and Settings\All Users.WINNT\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe');
     BC_DeleteFile('C:\Documents and Settings\Home\Главное меню\Программы\Автозагрузка\system.exe');
     DeleteFile('C:\WINNT\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
     DeleteFile('C:\WINNT\system32\KB_963491.exe');
     BC_DeleteFile('C:\WINNT\system32\KB_963491.exe');
     DeleteFile('C:\WINNT\system32\WinAvXX.exe');
     BC_DeleteFile('C:\WINNT\system32\WinAvXX.exe');
     DeleteFile('C:\WINNT\system32\sulimo.dat');
     BC_DeleteFile('C:\WINNT\system32\sulimo.dat');
     DeleteFile('C:\WINNT\winptr.exe');
     BC_DeleteFile('C:\WINNT\winptr.exe');
     DeleteFile('C:\windows\system32\winload');
     BC_DeleteFile('C:\windows\system32\winload');
    DeleteFile('C:\WINNT\app.exe');
    BC_DeleteFile('C:\WINNT\app.exe');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13320 , как написано в прил. 3 правил, и сделайте новые логи, начиная с п. 10 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    6
    Вес репутации
    38
    Ошибка перестала выскакивать. Доступ к свойствам системы остался закрыт.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    C:\WINNT\system32\iegksgk.dll - Trojan Horse(по Симантеку), будем удалять.
    Выполнить скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('app.exe','');
    DeleteFile('C:\WINNT\system32\iegksgk.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин, если туда что-то попадет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    В дополнение, по результатам проверки на Virustotal:
    C:\WINNT\system32\iegksgk.dll - Trojan-Spy.Win32.Goldun.pg
    C:\WINNT\system32\sulimo.dat - not-virus:Hoax.Win32.Renos.lq
    (по классификации Касперского)
    C:\WINNT\system32\WinAvXX.exe и C:\WINNT\system32\printer.exe - одно и то же - Trojan.Fakealert.357 (по классификации DrWeb).
    В дополнение к тому, что написал Павел, выполните еще один скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\system32\mstscax.dll','');
     QuarantineFile('c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe','');
     QuarantineFile('c:\winnt\system32\mstsc.exe','');
    // DeleteFile('C:\WINNT\system32\iegksgk.dll');
    // BC_DeleteFile('C:\WINNT\system32\iegksgk.dll');
    Executerepair(6);
    BC_ImportQuarantineList;
    BC_Activate;
    // ExecuteSysClean;
    RebootWindows(true);
    end.
    После выполнения скриптов, пришлите карантин, если туда что-нибудь попадет, пофиксите с помощью Hijackthis строку:
    Код:
    O4 - HKLM\..\Run: [App.exe] app.exe
    и повторите логи, начиная с п. 10 правил.
    Последний раз редактировалось Numb; 18.10.2007 в 14:04. Причина: Опоздал

  7. #6
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    6
    Вес репутации
    38
    Карантин выслал. После перезагрузки доступ к системе все еще ограничен.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Выполняйте скрипт Numb
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    И еще такой скрипт:
    Код:
    begin
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    6
    Вес репутации
    38
    Цитата Сообщение от Numb Посмотреть сообщение
    В дополнение, по результатам проверки на Virustotal:
    C:\WINNT\system32\iegksgk.dll - Trojan-Spy.Win32.Goldun.pg
    C:\WINNT\system32\sulimo.dat - not-virus:Hoax.Win32.Renos.lq
    (по классификации Касперского)
    C:\WINNT\system32\WinAvXX.exe и C:\WINNT\system32\printer.exe - одно и то же - Trojan.Fakealert.357 (по классификации DrWeb).
    В дополнение к тому, что написал Павел, выполните еще один скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\system32\mstscax.dll','');
     QuarantineFile('c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe','');
     QuarantineFile('c:\winnt\system32\mstsc.exe','');
    // DeleteFile('C:\WINNT\system32\iegksgk.dll');
    // BC_DeleteFile('C:\WINNT\system32\iegksgk.dll');
    Executerepair(6);
    BC_ImportQuarantineList;
    BC_Activate;
    // ExecuteSysClean;
    RebootWindows(true);
    end.
    После выполнения скриптов, пришлите карантин, если туда что-нибудь попадет, пофиксите с помощью Hijackthis строку:
    Код:
    O4 - HKLM\..\Run: [App.exe] app.exe
    и повторите логи, начиная с п. 10 правил.
    Все это проделал, доступ к системе появился. Васлал карантин, вылаживаю логи.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\WINNT\system32\mstscax.dll - чистый
    c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe чистый
    c:\winnt\system32\mstsc.exe -- остается под подозрением ... подождем реакцию вирлаба

    app.exe - поищите через AVZ-сервис-поиск файлов на диске ... если найдется пришлите по правилам

  12. #11
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    6
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    C:\WINNT\system32\mstscax.dll - чистый
    c:\program files\common files\safenet sentinel\sentinel protection server\winnt\spnsrvnt.exe чистый
    c:\winnt\system32\mstsc.exe -- остается под подозрением ... подождем реакцию вирлаба

    app.exe - поищите через AVZ-сервис-поиск файлов на диске ... если найдется пришлите по правилам
    app.exe не нашло
    Огромное всем спасибо, будем наблюдать за работой машины.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Цитата Сообщение от svmarcha Посмотреть сообщение
    app.exe не нашло
    Огромное всем спасибо, будем наблюдать за работой машины.
    Значит надо профиксить строчку с app.exe в Hijackthis.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    Попутно, еще два вопроса: вы утилиты удаленного управления от Dameware сами ставили? И еще, логи делались не через терминальную сессию?

  15. #14
    Junior Member Репутация
    Регистрация
    17.10.2007
    Сообщений
    6
    Вес репутации
    38
    Цитата Сообщение от Numb Посмотреть сообщение
    Попутно, еще два вопроса: вы утилиты удаленного управления от Dameware сами ставили? И еще, логи делались не через терминальную сессию?
    Да сам. Логи делались напрямую с машишы.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 65
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\winnt\\system32\\iegksgk.dll - Trojan-Banker.Win32.Banker.ckj (DrWEB: Trojan.DownLoader.26754)
      2. c:\\winnt\\system32\\printer.exe - Trojan.Win32.Qhost.qd (DrWEB: Trojan.Fakealert.357)
      3. c:\\winnt\\system32\\sulimo.dat - Hoax.Win32.Renos.lq (DrWEB: Trojan.Fakealert.357)
      4. c:\\winnt\\system32\\winavxx.exe - Trojan.Win32.Qhost.qd (DrWEB: Trojan.Fakealert.357)


  • Уважаемый(ая) svmarcha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Warning! Potential Spyware Operation! - 3й день
      От aas202 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 03:03
    2. Warning! Potential Spyware Operation
      От bobt в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 02:42
    3. Ответов: 20
      Последнее сообщение: 22.02.2009, 02:42
    4. Warning! Potential Spyware Operation!2
      От vve в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.10.2007, 08:46
    5. Warning! Potential Spyware Operation!
      От vve в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 08.10.2007, 02:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00108 seconds with 17 queries