Показано с 1 по 18 из 18.

Trojan-Spy.Win32.Banker.fov (заявка № 13940)

  1. #1
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Киев
    Сообщений
    25
    Вес репутации
    60

    Thumbs up Trojan-Spy.Win32.Banker.fov

    Ув. админ.!

    Антивирус касперского сообщил, что комп. заражен Trojan-Spy.Win32.Banker.fov.

    При попытке удалить вирус, комп. начинал перезагружаться.

    Скачала CureIT, AVZ, HijackThis. Проделала по порядку все, что у вас написано в правилах.

    Сейчас Касперский молчит, но сомнения гнетут. Вдруг еще чего-нибудь осталось?

    Посмотрите, пожалуйста!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ati2psag.sys','');
     QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
     QuarantineFile('C:\WINDOWS\system32\ati2paag.dll','');
     DeleteFile('C:\WINDOWS\system32\ati2paag.dll');
     DeleteFile('C:\WINDOWS\system32\ati2psag.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.

    Добавлено через 1 минуту

    Вот это можно пофиксить в HijackThis:
    Код:
    O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
    Последний раз редактировалось Bratez; 07.11.2007 в 16:06. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    564
    Карантин нужно присылать по приложению 3 Правил!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\mswapi.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis, если останется:
    Код:
    O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll
    Обновите базы AVZ!

    Сделайте новые логи.

    Добавлено через 3 минуты

    P.S. У вас устаревшая версия антивируса Касперского, рекомендуется перейти на 7.0.
    Последний раз редактировалось Bratez; 07.11.2007 в 16:23. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Киев
    Сообщений
    25
    Вес репутации
    60
    Это не у меня устаревшая версия, это у моей конторы устаревшая версия Касперского. Надо будет поднять вопрос.

    Что там с моим коняшкой? (компом в смысле)
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах чисто ..... с этим _
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    сами разберетесь ?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Карантин таки уберите из темы - не положено. Для этого есть ссылка вверху темы. Кстати, мне кажется, этот карантин сделан до выполнения моего первого скрипта, а надо было после... Сделайте, как написано в приложении 3 правил, хотелось бы все же получить эти псевдо-ati-шные файлики, их копии в карантине должны быть.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Киев
    Сообщений
    25
    Вес репутации
    60
    Честно говоря, я юзер самый обычный. Системщики в отсутствии:один болеет, второй в отпуске, третий - "очумелые ручки" к нему идти себе дороже.

    Поясните, что делать, пожалуйста. Спасибо.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    564
    Как делать карантин описано в правилах...
    Службы скажите какие не нужны, мы поможем

  11. #10
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Киев
    Сообщений
    25
    Вес репутации
    60
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    Ничего такого разрешено не было точно. Доступ к ПК только с паролем.

    Как все это убирается?


    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)


    Насчет этих ничего сказать не могу. Они нужны, вообще, для нормальной жизни. Можно без них обойтись?

    Да, карантин отправила ка положено. Извините, что сначала так получилось. Не разобралась. Теперь буду знать.

    Не могу прочитать приват: настройки нашего прокси не дают. Сорри...

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    564
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    BTW:
    mswapi.dll добавлен в базы KAV под именем Trojan-Spy.Win32.Iespy.ef
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Киев
    Сообщений
    25
    Вес репутации
    60
    Скриптик проработал. Можно вздохнуть свободно?

    А то начальство работу требует...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Дык уже давно чисто у вас (см. сообщение #6)
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Киев
    Сообщений
    25
    Вес репутации
    60
    Большое спасибочки!

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    564
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  18. #17
    Junior Member Репутация
    Регистрация
    07.11.2007
    Адрес
    Киев
    Сообщений
    25
    Вес репутации
    60
    Файл сделала, а закачать не могу. Говорит:

    Невозможно отобразить страницу

    Интересно, эта лажа у меня или у вас?

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\mswapi.dll - Trojan-Spy.Win32.Iespy.ef (DrWEB: Trojan.Iespy)


  • Уважаемый(ая) gadyuka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-Banker.Win32.Banker.aniu
      От fabio_yoko в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 10.10.2009, 01:13
    2. Еще раз о Win32.Banker.FS Trojan.SpyAgent.Da.
      От Wilbour Wonka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:24
    3. Trojan.Win32.Banker
      От User007 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:11
    4. Trojan.Win32.Banker
      От favarit в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:14
    5. Win32.Banker.FS Trojan.SpyAgent.Da
      От freecorn в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.03.2008, 16:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00298 seconds with 18 queries