Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Trojan.Proxy.1739 + горец sulimo.dat (заявка № 14101)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38

    Question Trojan.Proxy.1739 + горец sulimo.dat

    к заголовку добавлю что:
    а) заблокирован доступ к менджеру железа и администрированию компьютера - но появилось это не сразу
    б) запись на sulimo.dat в реестре исчезла, но сам файл есть и востанавливается
    в) ДрВэб 4.44 частично поубивал цветник.

    с этой машины не могу вставить логи-вложения, прицеплю с другой машины следующим постом
    Последний раз редактировалось trg; 12.11.2007 в 18:55. Причина: добавление логов

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38

    логи

    г) отпали ЮСБ порты - ни принтера, ни флешки не видит
    Вложения Вложения

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ..
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\Mphmoh32.dll','');
     QuarantineFile('msime82.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\lich.exe','');
     DeleteFile('C:\WINDOWS\system32\lich.exe');
     DeleteFile('C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('msime82.exe');
    BC_QrSvc('FCI');
    BC_QrSvc('cmdService');
    BC_QrSvc('Network Monitor');
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('Network Monitor');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от trg Посмотреть сообщение
    г) отпали ЮСБ порты - ни принтера, ни флешки не видит
    Это лечится переустановкой ЮСБ контроллера. Удалить устройство из "Диспетчера устройств".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    пофиксите ..
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\Mphmoh32.dll','');
     QuarantineFile('msime82.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\lich.exe','');
     DeleteFile('C:\WINDOWS\system32\lich.exe');
     DeleteFile('C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('msime82.exe');
    BC_QrSvc('FCI');
    BC_QrSvc('cmdService');
    BC_QrSvc('Network Monitor');
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('Network Monitor');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

    карантин высылаю, но... в карантине из списка запрошенных файлов было каждого по два штуки, а лич.ехе - три. пути одинаковы.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    lich.exe - Trojan-PSW.Win32.LdPinch.eaw
    больше ничего в карантине нет. Где же остальные?
    I am not young enough to know everything...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    PS: После окончания лечения придется сменить все пароли

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    повторите логи....
    попробуйте поискать Mphmoh32.dll -если найдется пришлите поправилам...

  10. #9
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38
    Цитата Сообщение от Bratez Посмотреть сообщение
    lich.exe - Trojan-PSW.Win32.LdPinch.eaw
    больше ничего в карантине нет. Где же остальные?

    как говорил - было по две копии каждого из списка в скрипте. всех отмечал первую, а лича - третью копию. щас присоеденил опять - отметил вторые копии

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Аналогично... когда добавляете файлы в карантин антивирус отключаете?

  12. #11
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38
    Цитата Сообщение от rubin Посмотреть сообщение
    Аналогично... когда добавляете файлы в карантин антивирус отключаете?
    нет. надо?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    обязательно ...

  14. #13
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    обязательно ...

    совсем глупый вопрос, точнее два:

    1. я не знаю как отключить ДрВеб окромя как грохнуть процесс, в Каспера есть кнопка отключения, а в Вэбе не видел нигде таковой

    2. в карантине там много всего было - может всё и прислать или только то что запрошено?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    1. "Грохать" процессы DrWeb бесполезно. Spider работает в режиме драйвера.
    Нужно поставить его на паузу щелкнув на нем правой кнопкой мыши.
    2. Если много всего, то не надо. Нужны только те файлы, которые упомянуты в строках скрипта со словом QuarantineFile.
    + C:\WINDOWS\system32\svchost.exe:ext.exe
    C:\WINDOWS\c2Fz\command.exe
    C:\Program Files\Network Monitor\netmon.exe

  16. #15
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    1. "Грохать" процессы DrWeb бесполезно. Spider работает в режиме драйвера.
    Нужно поставить его на паузу щелкнув на нем правой кнопкой мыши.
    2. Если много всего, то не надо. Нужны только те файлы, которые упомянуты в строках скрипта со словом QuarantineFile.
    + C:\WINDOWS\system32\svchost.exe:ext.exe
    C:\WINDOWS\c2Fz\command.exe
    C:\Program Files\Network Monitor\netmon.exe

    попробовал с отключённым спайдермонитором - результат тот же - в карантине файлы нулевого размерами. поискал руками по путям - не нашёл указанных файлов.
    файлика sulimo.dat тоже кстати не нашёл....

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    сделайте новые логи ...

  18. #17
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    сделайте новые логи ...
    высылаю новые логи.

    хочу ещё указать, сейчас sulimo.dat в system32 нету, но авоматическое восстановление отключено, и я смутно догадываюсь - если включить - горец снова появится.
    Вложения Вложения

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Нет, при отключении восстановления все файлы контрольных точек стираются, и уже восстанавливаться зловреду неоткуда

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт...
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\Mphmoh32.dll','');
    QuarantineFile('C:\WINDOWS\c2Fz\command.exe','');
    BC_QrSvc('cmdService');
    BC_DeleteSvc('lich');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пишлите карантин согласно приложения 3 правил ...

  21. #20
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт...
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\Mphmoh32.dll','');
    QuarantineFile('C:\WINDOWS\c2Fz\command.exe','');
    BC_QrSvc('cmdService');
    BC_DeleteSvc('lich');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пишлите карантин согласно приложения 3 правил ...

    карантин пуст.... руками указанные файлы не нашол. в папке C:\WINDOWS\c2Fz\ есть только файл wziv.vbs на 472 байта, внутри какойто скриптик с текстом. ДрВеб тоже ни на что не возбуждается.

    возможно они вылазят в роцессе работы... я попробую ещё раз сделать карантин - попозже.
    Последний раз редактировалось trg; 16.11.2007 в 16:53.

  • Уважаемый(ая) trg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    2. Trojan Fakealert 350 и trojan.proxy.1739
      От AlexanderL в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:16
    3. Trojan.Proxy.1739
      От DAV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.02.2008, 15:36
    4. trojan.proxy.1739
      От Cawka в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.11.2007, 03:51
    5. Trojan.Java.ClassLoader.ao - горец а не троян
      От immortal29 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.03.2007, 01:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00101 seconds with 17 queries