Показано с 1 по 13 из 13.

infostealer (заявка № 14175)

  1. #1
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    12
    Вес репутации
    39

    Exclamation infostealer

    определяется Semantic Антивирусом, но после перезапуска опять восстанавливает себя...

    плз, помогите убить
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ничего подозрительного в логах не видно.
    На какой файл ругается Симантек?
    Сделайте лог п.10 правил с запущенным IE
    и дополнительный лог, как написано тут:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    12
    Вес репутации
    39
    сделала.

    Семантик находит нечто с названием "infostealer" в виде menu.dll и menu_1.dll, удаляет их, а при новой загрузке оно находится снова...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    menu.dll и menu_1.dll - это вероятно от Mail.Ru-агента файлы.
    Попробуем так: загрузитесь в безопасный режим, запустите AVZ, выберите "Сервис - Поиск файлов на диске", найдите и добавьте в карантин menu.dll и menu_1.dll, затем сформируйте архив карантина, как написано в приложении 3 правил. Только после этого запускайте нормальный режим. Карантин пришлите через эту ссылку: http://virusinfo.info/upload_virus.php?tid=14175.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    12
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    menu.dll и menu_1.dll - это вероятно от Mail.Ru-агента файлы.
    Попробуем так: загрузитесь в безопасный режим, запустите AVZ, выберите "Сервис - Поиск файлов на диске", найдите и добавьте в карантин menu.dll и menu_1.dll, затем сформируйте архив карантина, как написано в приложении 3 правил. Только после этого запускайте нормальный режим. Карантин пришлите через эту ссылку: http://virusinfo.info/upload_virus.php?tid=14175.
    сорри, не успела сделать архив карантина, хватанула троянов...
    плз, посмотрите

    зы/ второй раз avz пришлось запускать через безопасный режим, потому что в процессе проверки в обычном - на каком-то моменте выбрасывало в синий экран с просьбой проверить железо... пока ничего не проверяла
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\_svchost.exe');
    DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Содержимое карантина пришлите согласно приложению 3 правил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    12
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните скрипт в AVZ:
    Содержимое карантина пришлите согласно приложению 3 правил.
    выслала

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните такой скрипт:
    Код:
    begin
    DeleteFile('C:\WINDOWS\ieupdr.exe');
    DeleteFile('C:\ie_updater.exe');
    DeleteFile('C:\Documents and Settings\remaker\Рабочий стол\ieupdr2.exe');
    DeleteFile('C:\Documents and Settings\remaker\ie_updates3r.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    12
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните такой скрипт:
    Компьютер перезагрузится.
    Сделайте новые логи.
    сделано.

    а если все нормально, то можно попробовать от infostealer'а избавиться через безопасный режим, как выше было написано?
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните такой скрипт:
    Код:
    BC_DeleteSvc('Microsoft Inet Service');
    BC_Activate;
    RebootWindows(true);
    end.
    Если проблема с Инфостилером еще беспокоит, сделайте, как написано в сообщении #4.
    И еще посмотрите, нужно ли вам что-либо из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    Лишнее отключим.

    Добавлено через 2 часа 19 минут

    У вас был свеженький Trojan-Downloader.Win32.Tiny.acp -
    только что добавлен в базы KAV.
    Последний раз редактировалось Bratez; 04.12.2007 в 14:50. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    24.05.2007
    Сообщений
    12
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните такой скрипт:
    готово!

    Цитата Сообщение от Bratez Посмотреть сообщение
    Если проблема с Инфостилером еще беспокоит, сделайте, как написано в сообщении #4.
    сделала. ничего не найдено в безопасном режиме

    меня это не то, чтобы беспокоит, просто надоело каждый раз при загрузке смотреть на это окно, что инфостилер удален

    Цитата Сообщение от Bratez Посмотреть сообщение
    И еще посмотрите, нужно ли вам что-либо из этого списка:
    Лишнее отключим.
    ага, отпишусь позже...

    Цитата Сообщение от Bratez Посмотреть сообщение
    Добавлено через 2 часа 19 минут
    Цитата Сообщение от Bratez Посмотреть сообщение

    У вас был свеженький Trojan-Downloader.Win32.Tiny.acp -
    только что добавлен в базы KAV.
    вау

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    сделала. ничего не найдено в безопасном режиме
    Тогда сделайте в нормальном, только не позволяйте антивирусу их удалить.
    I am not young enough to know everything...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\remaker\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)
      2. c:\\documents and settings\\remaker\\рабочий стол\\ieupdr2.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)
      3. c:\\ie_updater.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)
      4. c:\\windows\\ieupdr.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)
      5. c:\\windows\\system32\\_svchost.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)


  • Уважаемый(ая) Galka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Infostealer
      От Сауле в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 03:54
    2. Infostealer
      От ghostil в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.05.2008, 11:58
    3. InfoStealer
      От ghostil в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.04.2008, 17:14
    4. Infostealer
      От ghostil в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.03.2008, 19:57
    5. Infostealer
      От ghostil в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.11.2007, 12:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00900 seconds with 17 queries