Показано с 1 по 15 из 15.

Много троянов PassView, GoldSpy, FakeAlert и пр. (заявка № 13325)

  1. #1
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    7
    Вес репутации
    38

    Question Много троянов PassView, GoldSpy, FakeAlert и пр.

    Видимая часть началась с появлением Warning! Potential Spyware operation. В ответ на клик "Да" выбрасывает на страничку с закосом под антивирусное содержание и предлагает еще какую-то прогу загрузить и запустить. Не загружал ее.

    Все сделал согласно инструкции. Отключить восстановление системы не удалось, т.к. в ответ на правый клик на "Моем компьютере" и выборе пункта "свойства" выпадает сообщение, что "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети". Ранее такого не наблюдалось, т.е. "свойства" открывались.

    CureIt в safe mode обнаружил пару десятков файлов инфицированных следующей дрянью: Tool.PassView.Origin, Tool.BrutusPWS, Trojan.PWS.GoldSpy, BackDoor.Bulknet, Tool.Prockill, Trojan.FakeAlert.357 (и 311 - судя по названию как раз то самое видимое) и пр. Что не лечилось поудалял (с помощью CureIt конечно).

    На форуме с моего компа при нажатии кнопки "Новая тема" и последющем вводе имени и пароля появляется страничка объявляющая, что идет переадресация, а потом выбрасывает обратно на пустые поля имени и пароля. Поэтому пост отправляю с другого компа.

    Прошу помощи. Файлы прилагаются. Заодно просветите, как выполняются (посредством какой программы) скрипты?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)
    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    O4 - HKLM\..\Policies\Explorer\Run: [COM Ports] System32.exe
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\vtr.dll','');
     QuarantineFile('C:\WINDOWS\system32\exe','');
     QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
     QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
     QuarantineFile('c:\windows\system32\o2flash.exe','');
     DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
     DeleteFile('C:\WINDOWS\system32\sulimo.dat');
     DeleteFile('C:\WINDOWS\system32\vtr.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил..

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Восстановление системы отключить срочно перед выполнением скрипта.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    7
    Вес репутации
    38
    Спасибо большое за оперативность!

    Пофиксил, скрипт выполнил, карантин отправил. Только карантин без пароля. Что-то не нашел я там такой опции. Пока еще разок NOD32 прогоню.

    Еще какие-то действия нужны будут?

    Добавлено через 6 минут

    Цитата Сообщение от PavelA Посмотреть сообщение
    Восстановление системы отключить срочно перед выполнением скрипта.
    Не могу войти в "свойства" "моего компьютера". В ответ на выбор этого пункта контекстного меню выпрыгивает сообщение "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети". Нажимаю ОК (других опций не предлагается), она же появляется второй раз. После второго раза прекращается. Ранее такого не наблюдалось, т.е. "свойства" открывались.
    Последний раз редактировалось uadennis; 18.10.2007 в 16:35. Причина: Добавлено

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    в AVZ
    Файл -- Восст. системы п.6,8,9 отметить -- выполнить.

    после этого попробовать восстановление системы отключить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    из попавших в карантин ...
    C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\VFuj02b1.dll - чистый
    c:\windows\system32\o2flash.exe - чистый
    повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    7
    Вес репутации
    38
    Прошелся второй раз по полному кругу инструкции. Логи в приложении. Восстановление системы удалось отключить после запуска указанных пунктов в AVZ. Спасибо за подсказку.

    Из карантина исчез один из файлов. Загрузить карантин?
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Карантин загружай.

    В логах чисто, зловреды не восстановились.

    "Дырки" в системе еще надо позакрывать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    7
    Вес репутации
    38
    Очень радует!!!

    Загрузил. Судя по названиям из CureIt у меня паслось с пяток вирусов, ворующих пароли. Мрак.

    А как с дырками быть посоветуете или где прочитать/проконсультироваться?

    Добавлено через 55 секунд

    Такое впечатление, что ктото намеренно парольных шпионов натыкал...
    Последний раз редактировалось uadennis; 18.10.2007 в 18:31. Причина: Добавлено

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    это потенциальные уязвимости ....
    что из этого используется ...?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
    >> Безопасность: Разрешены терминальные подключения к данному ПК

  12. #11
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    7
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    это потенциальные уязвимости ....
    что из этого используется ...?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
    >> Безопасность: Разрешены терминальные подключения к данному ПК

    Джентльмены! Спасибо огромное за помощь!!! Система вроде стабильна. Может подскажете, плз, как выключать службы и прочие дырки, кои не используются?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    можем закрыть при помощи скрипта ....
    (вы решили ,что вам необходимо ? )

  14. #13
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    7
    Вес репутации
    38
    Э-э, дайте время определиться

    А где можно просветиться на тему того, какие дырки мне нужны, а какие нет?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) uadennis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Очень много Троянов
      От ПавелБ в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.10.2009, 19:50
    2. много троянов.
      От zuzya в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:14
    3. Ответов: 8
      Последнее сообщение: 22.02.2009, 01:36
    4. очень много троянов!
      От vlad_1976 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.10.2008, 16:49
    5. Много троянов!!!
      От ghostil в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 26.05.2008, 14:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00483 seconds with 17 queries