Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Warning! Potential Spyware Operation! - 3й день (заявка № 15098)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40

    Thumbs up Warning! Potential Spyware Operation! - 3й день

    Помогите пожалуйста побороть заразу.
    Админских прав нет. В свойства не пускает.
    Логи приатачил. Если есть вопросы сразу же отвечу.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    да уж, нахватались а 2 пункт делали ?
    насчёт админских прав, AVZ же клянётся что под админом запускался- неувязочка
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\WINZIP\wzusr90.exe','');
     QuarantineFile('C:\WINDOWS\2k3_USR.EXE','');
     QuarantineFile('d:\Users\All Users\Start Menu\Programs\Startup\autorun.exe','');
     QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
     QuarantineFile('C:\WINDOWS\system32\printer.exe','');
     QuarantineFile('C:\WINDOWS\system32\vsjitdebugger.exe','');
     QuarantineFile('c:\windows\System32\drivers\BlackDrv.sys','');
     QuarantineFile('c:\windows\system32\drivers\mvfs50.sys','');
     QuarantineFile('C:\WINDOWS\shell.exe','');
     QuarantineFile('C:\Program Files\ofiiousq\vuoqsioi.dll','');
     QuarantineFile('c:\windows\shell.exe','');
     QuarantineFile('C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\launchAP.exe','');
     QuarantineFile('C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll','');
    QuarantineFile('C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe',''); 
    QuarantineFile('C:\TEMP\1632.exe','');
    QuarantineFile('C:\TEMP\16agent.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15098
    P.S.Скрипт не лечит, только копирует нужные нам файлы для исследований
    Последний раз редактировалось drongo; 10.12.2007 в 22:00.

  4. #3
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40
    Странно, при попытке запуска панели управления или свойств экрана компьютер пишет что нехватает прав. Вот я и подумал что слетели админские права.

    карантин закачал.
    Спасибо за ответ

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    autorun.exe, spoolvs.exe, printer.exe, shell.exe - Trojan-Downloader.Win32.Agent.eus
    1632.exe, 16agent.exe - Trojan-Downloader.Win32.Alphabet.gen
    vuoqsioi.dll - not-a-virus:AdWare.Win32.Agent.wk

    Добавлено через 11 минут

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O2 - BHO: (no name) - {2F02D978-0FF6-80F7-60BB-0426224AB7B3} - C:\Program Files\ofiiousq\vuoqsioi.dll
    O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
    O4 - Global Startup: autorun.exe
    O20 - Winlogon Notify: ccnotify - C:\Program Files\Rational\bin\ccnotify.dll (file missing)
    Сразу же после фикса выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\ofiiousq\vuoqsioi.dll');
     DeleteFile('C:\WINDOWS\shell.exe');
     DeleteFile('C:\WINDOWS\system32\printer.exe');
     DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
     DeleteFile('d:\Users\All Users\Start Menu\Programs\Startup\autorun.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Очистите папку C:\TEMP.
    Обновите базы AVZ и сделайте новые логи.
    Последний раз редактировалось Bratez; 11.12.2007 в 02:44. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40
    Новые логи приатачил.
    Спасибо за помощь.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Нда, обновление баз AVZ тут помогло больше чем скрипт

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
    O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\shell.exe');
     DeleteFile('C:\WINDOWS\system32\printer.exe');
     DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
    DeleteFile('D:\Users\aas202\Application Data\trant.exe');
    DeleteFile('D:\Users\aas202\Application Data\spyguard.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(13);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Логи придется еще раз сделать.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40
    Скрипт не запускается с этой строчкой

    ExecuteSysClean;

    Пишет ' Invalid data type for " '

    Если ее удалить то все работает. Логи в процессе.

  9. #8
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40
    Новые логи в атаче...
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Ну вот теперь почти чисто.
    На всякий случай проверим еще пару файлов.
    Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('L:\autorun.inf','');
     QuarantineFile('C:\Program Files\E404 Helper\e404.v5.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40
    в карантине ничего нету

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Вот как? Тогда ищите вручную через AVZ - Сервис - Поиск файлов на диске.
    Если L: это CD/DVD или виртуальник, тогда autorun не надо.
    e404.v5.dll - этот существует 100%.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40
    диск L виртуальный.
    e404.v5.dll нашелся.

    Выполнил еще раз скрипт.
    Вот карантин

    Файл сохранён как 071211_065227_virus_475e880b5e57c.zip
    Размер файла 14627
    MD5 5ede089d6f0cbbac7ecaed62fa9bf0b6

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Свежее adware...
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\E404 Helper\e404.v5.dll');
     BC_DeleteFile('C:\Program Files\E404 Helper\e404.v5.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и пофиксите в HijackThis:
    Код:
    O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\E404 Helper\e404.v5.dll
    Для контроля сделайте логи, начиная с п.10 правил.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40
    приаттачил
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    69
    e404.v5.dll - not-a-virus:AdWare.Win32.Agent.xi

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Теперь порядок.

    Вот эти подозрения AVZ:
    Код:
    C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll >>> подозрение на Spy.WinAD.k ( 00637146 00000000 001CBAB4 001FC5B4 40960)
    C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe >>> подозрение на Exploit.Win32.EFCommander ( 00424886 0032888B 001BECF7 0003C8E4 32768)
    C:\Program Files\Rational\ClearCase\bin\clearmenuadmin.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.dul ( 005E9E6A 08CD5FC5 001A3ECF 0019AC0D 122880)
    скорее всего ложные, хотя не помешает проверить эти файлы на www.virustotal.com.

    Больше ничего плохого нет.
    I am not young enough to know everything...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    [quote=Bratez;159595]

    Код:
    C:\Program Files\Hummingbird\Connectivity\7.10\Exceed\hclctl3.dll >>> подозрение на Spy.WinAD.k ( 00637146 00000000 001CBAB4 001FC5B4 40960)
    C:\Program Files\Hummingbird\Connectivity\7.10\HostExplorer\SDK\Samples\COMObjects\VisualPhoneSearch\VisualSearch.exe >>> подозрение на Exploit.Win32.EFCommander ( 00424886 0032888B 001BECF7 0003C8E4 32768)
    C:\Program Files\Rational\ClearCase\bin\clearmenuadmin.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.dul ( 005E9E6A 08CD5FC5 001A3ECF 0019AC0D 122880)
    Пришлите их нам по пункту 2 правил, надёжнее

    кстати, ссылка на cureit жива, только там по протоколу ftp.
    Возможно у вас перекрыто, спросите местного админа

  19. #18
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от drongo Посмотреть сообщение
    кстати, ссылка на cureit жива, только там по протоколу ftp.
    Уточнение для админа: по пассивному ФТП.

    Paul

  20. #19
    Junior Member Репутация
    Регистрация
    10.12.2007
    Сообщений
    10
    Вес репутации
    40
    Все вроде починили. Спасибо всем огромнейшее

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    не забудте под ограниченным юзером работать по умолчанию, а то опять что нибудь схватите а и в интернет через firefox+ noscript.
    А вы поставили нам5 сегодня?

  • Уважаемый(ая) aas202, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Warning! Potential Spyware Operation
      От bobt в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 02:42
    2. Ответов: 20
      Последнее сообщение: 22.02.2009, 02:42
    3. warning!Potential Spyware Operation!
      От svmarcha в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 02:42
    4. Warning! Potential Spyware Operation!2
      От vve в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.10.2007, 08:46
    5. Warning! Potential Spyware Operation!
      От vve в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 08.10.2007, 02:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00565 seconds with 17 queries