Показано с 1 по 19 из 19.

Модифицированный Win32/Fuclip троян (заявка № 15211)

  1. #1
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37

    Thumbs up Модифицированный Win32/Fuclip троян

    Заражены все файлы с расширением *exe

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Запишите на компакт диск (желательно с другой, здоровой машины) лечащую утилиту CureIt, сделать с компакт диска полную проверку

  4. #3
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Я уже делала полную проверку компа этой утилитой. Что дальше? Основная масса зараженных файлов у меня в карантине сидит. (стоит антивирус нод 32)

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\svch8u1.dll
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\svch8u1.dll','');
     QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
     DeleteFile('C:\WINDOWS\system32\ldr.exe');
     DeleteFile('C:\WINDOWS\system32\svch8u1.dll');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\system32\makehm.exe');
     DeleteFile('C:\Documents and Settings\Natasha_\Local Settings\Temp\tmp_98.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    + добавте в карантин несколько файлов зараженных вирусом ...

  6. #5
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Пофиксила один из указанных кодов, второго (O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing) в списке не оказалось
    Еще не знаю как добавить в карантин файлы из карантина нод 32, как нужно вводить имя файла? При обнаружении нодом они были удалены и помещены в карантин.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в карантине ....
    C:\Documents and Settings\Natasha_\Local Settings\Temp\tmp_98.exe -Trojan.MulDrop.9286
    повторите логи ....

  8. #7
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Обновила AVZ

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Все в порядке, немного мусора осталось.

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('ntoss.sys');
     BC_DeleteSvc('ntosnh.sys');
     BC_DeleteSvc('asc3550o');
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Лишнее отключим.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Сделала все что вы сказали, высылаю логи и карантин на всякий случай

    Из того , что вы написали не нужно только
    (Диспетчер сеанса справки для удаленного рабочего стола)
    остальное я бы оставила
    Последний раз редактировалось Shu_b; 13.12.2007 в 23:02.

  11. #10
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Еще вопрос - Изначально проверку системы делала нод 32, очень много файлов было удалено и помещено в карантин.Файлы из карантина НОД32 можно удалить?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    что -то опять полно ....
    пофиксите ...
    Код:
    O4 - HKCU\..\Run: [noskrnl] C:\WINDOWS\noskrnl.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe
    выполните скрипт ...
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\noskrnl.exe','');
     QuarantineFile('C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\WINDOWS\noskrnl.exe');
     DeleteFile('C:\DOCUME~1\Natasha_\LOCALS~1\Temp\winlogon.exe');
     BC_DeleteSvc('qqd.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно пиложения 3 правил ...
    повторите логи ...

  13. #12
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Все сделала, высылаю логи и карантин

    [moderated! карантин нужно прислать согласно приложения 3 правил]
    Последний раз редактировалось Shu_b; 13.12.2007 в 23:01.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах чисто ....
    осталось ... убрать карантин из сообщения ... и загрузить по ссылке над темой ...
    и разобратся с этим ... что вами используется ?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  15. #14
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Карантин выслала как требуется, извиняюсь за ошибку.
    Мной используется все, кроме службы удаленного доступа.
    И еще мне не ответили, удалять ли файлы из карантина нод 32, которым я изначально проверяла систему?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    файлы удаляйте ....
    насчет служб .... не понял .... у вас машина в сети , ипользуете терминальный режим и сисадмин удаленно администрит ваш компьютер ?
    Последний раз редактировалось V_Bond; 13.12.2007 в 23:58.

  17. #16
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Нет, у меня машина не в сети, удаленный доступ не используется, как и терминальный режим (я вообще не знаю что это такое))))

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    тогда можно оставить только автозапуск ...
    выполните скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    12.12.2007
    Сообщений
    45
    Вес репутации
    37
    Большое спасибо за помощь!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\natasha_\\doctorweb\\quarantine\\connect ionservices.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)


  • Уважаемый(ая) Nats, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 16.07.2011, 14:09
    2. Ответов: 15
      Последнее сообщение: 11.11.2009, 14:03
    3. Ответов: 6
      Последнее сообщение: 28.02.2009, 16:27
    4. модифицированный Win32/Injector.JM троян
      От loGan88 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.02.2009, 20:57
    5. модифицированный Win32/Wigon троян
      От DIMITRIY в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00284 seconds with 16 queries