infostealer

**Galka** · 14.11.2007, 13:51

определяется Semantic Антивирусом, но после перезапуска опять восстанавливает себя...

плз, помогите убить

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 14.11.2007, 14:49

Ничего подозрительного в логах не видно.
На какой файл ругается Симантек?
Сделайте лог п.10 правил с запущенным IE
и дополнительный лог, как написано тут:
http://virusinfo.info/showthread.php?t=10387

**Galka** · 14.11.2007, 15:12

сделала.

Семантик находит нечто с названием "infostealer" в виде menu.dll и menu_1.dll, удаляет их, а при новой загрузке оно находится снова...

**Bratez** · 14.11.2007, 15:25

menu.dll и menu_1.dll - это вероятно от Mail.Ru-агента файлы.
Попробуем так: загрузитесь в безопасный режим, запустите AVZ, выберите "Сервис - Поиск файлов на диске", найдите и добавьте в карантин menu.dll и menu_1.dll, затем сформируйте архив карантина, как написано в приложении 3 правил. Только после этого запускайте нормальный режим. Карантин пришлите через эту ссылку: http://virusinfo.info/upload_virus.php?tid=14175.

**Galka** · 04.12.2007, 10:56

Сообщение от Bratez

menu.dll и menu_1.dll - это вероятно от Mail.Ru-агента файлы.
Попробуем так: загрузитесь в безопасный режим, запустите AVZ, выберите "Сервис - Поиск файлов на диске", найдите и добавьте в карантин menu.dll и menu_1.dll, затем сформируйте архив карантина, как написано в приложении 3 правил. Только после этого запускайте нормальный режим. Карантин пришлите через эту ссылку: http://virusinfo.info/upload_virus.php?tid=14175.

сорри, не успела сделать архив карантина, хватанула троянов...
плз, посмотрите

зы/ второй раз avz пришлось запускать через безопасный режим, потому что в процессе проверки в обычном - на каком-то моменте выбрасывало в синий экран с просьбой проверить железо... пока ничего не проверяла

**Bratez** · 04.12.2007, 11:00

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Содержимое карантина пришлите согласно приложению 3 правил.

**Galka** · 04.12.2007, 11:29

Сообщение от Bratez

Выполните скрипт в AVZ:
Содержимое карантина пришлите согласно приложению 3 правил.

выслала

**Bratez** · 04.12.2007, 12:01

Выполните такой скрипт:

Код:

begin
DeleteFile('C:\WINDOWS\ieupdr.exe');
DeleteFile('C:\ie_updater.exe');
DeleteFile('C:\Documents and Settings\remaker\Рабочий стол\ieupdr2.exe');
DeleteFile('C:\Documents and Settings\remaker\ie_updates3r.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи.

**Galka** · 04.12.2007, 12:24

Сообщение от Bratez

Выполните такой скрипт:
Компьютер перезагрузится.
Сделайте новые логи.

сделано.

а если все нормально, то можно попробовать от infostealer'а избавиться через безопасный режим, как выше было написано?

**Bratez** · 04.12.2007, 14:50

Выполните такой скрипт:

Код:

BC_DeleteSvc('Microsoft Inet Service');
BC_Activate;
RebootWindows(true);
end.

Если проблема с Инфостилером еще беспокоит, сделайте, как написано в сообщении #4.
И еще посмотрите, нужно ли вам что-либо из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК

Лишнее отключим.

Добавлено через 2 часа 19 минут

У вас был свеженький Trojan-Downloader.Win32.Tiny.acp -
только что добавлен в базы KAV.

**Galka** · 05.12.2007, 13:18

Сообщение от Bratez

Выполните такой скрипт:

готово!

Сообщение от Bratez

Если проблема с Инфостилером еще беспокоит, сделайте, как написано в сообщении #4.

сделала. ничего не найдено в безопасном режиме

меня это не то, чтобы беспокоит, просто надоело каждый раз при загрузке смотреть на это окно, что инфостилер удален

Сообщение от Bratez

И еще посмотрите, нужно ли вам что-либо из этого списка:
Лишнее отключим.

ага, отпишусь позже...

Сообщение от Bratez

Добавлено через 2 часа 19 минут

Сообщение от Bratez

У вас был свеженький Trojan-Downloader.Win32.Tiny.acp -
только что добавлен в базы KAV.

вау

**Bratez** · 05.12.2007, 16:05

сделала. ничего не найдено в безопасном режиме

Тогда сделайте в нормальном, только не позволяйте антивирусу их удалить.

**CyberHelper** · 22.02.2009, 02:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\remaker\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)
2. c:\\documents and settings\\remaker\\рабочий стол\\ieupdr2.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)
3. c:\\ie_updater.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)
4. c:\\windows\\ieupdr.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)
5. c:\\windows\\system32\\_svchost.exe - Trojan-Downloader.Win32.Winlagons.s (DrWEB: Trojan.DownLoader.37557)

infostealer (заявка № 14175)

Опции темы

infostealer

Итог лечения

Похожие темы

Infostealer

Infostealer

InfoStealer

Infostealer

Infostealer

Ваши права в разделе