Показано с 1 по 16 из 16.

Adware Virtumonde и Tiny.Id троян (заявка № 14795)

  1. #1
    Junior Member Репутация
    Регистрация
    02.12.2007
    Сообщений
    14
    Вес репутации
    37

    Thumbs up Adware Virtumonde и Tiny.Id троян

    Здравствуйте!

    В течение последних 5 дней NOD32 обнаруживает вот эти вирусы (Virtumonde и Tiny.ID), вроде бы удаляет, но на следующий день опять они же всплывают. Может, у меня еще какой вирус поселился?
    Последний раз редактировалось Messar; 29.01.2008 в 11:50.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\WINDOWS\dr.exe','');
     QuarantineFile('C:\WINDOWS\user32.exe','');
     QuarantineFile('C:\WINDOWS\system32\wunauclt.exe','');
    end.
    пришлите карантин согласно приложения 3 правил ....
    задания в планировщике я думаю не ваши ?

  4. #3
    Junior Member Репутация
    Регистрация
    02.12.2007
    Сообщений
    14
    Вес репутации
    37
    Карантин закачан. Только при выполнении скрипта получено вот что:
    "Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wunauclt.exe)
    Карантин с использованием прямого чтения - ошибка"

    Задания не мои - это точно.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\iefbhebk.dll','');
     QuarantineFile('C:\WINDOWS\system32\awvvt.dll','');
     DeleteFile('C:\WINDOWS\system32\awvvt.dll');
     DeleteFile('C:\WINDOWS\system32\iefbhebk.dll');
    DeleteFile('C:\Program Files\dr.exe');
     DeleteFile('C:\WINDOWS\user32.exe');
     DeleteFile('C:\WINDOWS\dr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите новый карантин по правилам.
    Задания в Планировщике удалите.
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\Program Files\dr.exe Trojan.Win32.Obfuscated.lf
    C:\WINDOWS\user32.exe Trojan-Dowloader.Win32.Small.guf
    C:\Program Files\serial.zip -стоит тоже удалить...
    выполните скрипт...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\wunauclt.exe','');     
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  7. #6
    Junior Member Репутация
    Регистрация
    02.12.2007
    Сообщений
    14
    Вес репутации
    37
    Карантин закачан. Задания в планировщике удалены.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Теперь нужны новые логи.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    02.12.2007
    Сообщений
    14
    Вес репутации
    37
    Сделано.
    Последний раз редактировалось Messar; 29.01.2008 в 11:50.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: {f07ef8de-63d3-1e48-5014-c37149735c94} - {49c53794-173c-4105-84e1-3d36ed8fe70f} - C:\WINDOWS\system32\iefbhebk.dll (file missing)
    O2 - BHO: (no name) - {BCDBF8DB-EDC6-4A29-A881-D2A59CE61220} - C:\WINDOWS\system32\awvvt.dll (file missing)
    Из карантина AVZ пришлите файл:
    C:\Program Files\MATLAB\R2007a\bin\win32\mclxlmain76.dll
    Скорее всего, он нормальный, просто для успокоения души

    И еще посмотрите, что вам нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите(крек для сп1 думаю не нужен) ...
    Код:
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    выполните скрипт...
    Код:
    begin
    ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\progra~1\common~1\instal~1\update~1\isuspm.exe','');
     DeleteFile('C:\WINDOWS\system32\awvvt.dll');
     DeleteFile('C:\WINDOWS\system32\iefbhebk.dll');
     DelCLSID('BCDBF8DB-EDC6-4A29-A881-D2A59CE61220');
     DelCLSID('49c53794-173c-4105-84e1-3d36ed8fe70f');     
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  12. #11
    Junior Member Репутация
    Регистрация
    02.12.2007
    Сообщений
    14
    Вес репутации
    37
    Все сделано. Карантин закачан.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    присланный файл по вирустотал -чист ....
    сделайте лог hijackthis ....

  14. #13
    Junior Member Репутация
    Регистрация
    02.12.2007
    Сообщений
    14
    Вес репутации
    37
    Лог:
    Последний раз редактировалось Messar; 29.01.2008 в 11:50.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    все чисто ...

  16. #15
    Junior Member Репутация
    Регистрация
    02.12.2007
    Сообщений
    14
    Вес репутации
    37
    Спасибо!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Спасибо у нас не говорят, а нажимают

    Если что,заходите еще
    I am not young enough to know everything...

  • Уважаемый(ая) Messar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Adware.Virtumonde.NEO
      От Dmitry F в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.04.2009, 11:41
    2. Adware.Virtumonde
      От ZVT в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 07:15
    3. Adware.Virtumonde
      От FloriaN в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:55
    4. Win32/adware.Virtumonde & ..Virtumonde.Fp
      От Alln0rd в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:34
    5. Adware.Virtumonde
      От Jerich0 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 05:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00279 seconds with 16 queries