Показано с 1 по 11 из 11.

Трояны =\ (заявка № 15275)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2007
    Сообщений
    25
    Вес репутации
    43

    Thumbs up Трояны =\

    Подозреваю что словил троянов, на одном крупном игровом портале.. нод ничего незаметил...

    подозреваю эти файлы:

    C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 13516
    C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 13516
    -отправил вам для проверки...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('PowerManager');
     QuarantineFile('C:\WINDOWS\system32\drivers\CDAC11BA.EXE','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UpdateService\ISUSPM.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteService('PowerManager');
     DeleteFile('C:\WINDOWS\svchost.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
      RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=


    Если вы не используете www.netpede.com то:
    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    	R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netpede.com/
    Добавлено через 3 минуты

    Это не хорошо выполнить скрипт:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Interne t Settings\Zones\3\', '1004', 3);
    end.
    Эти параметры вы изменяли?
    Код:
    >>  Заблокирована настройка автоматического обновления
    >>  Таймаут завершения служб находится за пределами допустимых значений
    Добавлено через 6 минут

    Цитата Сообщение от SOKOL Посмотреть сообщение
    C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 13516
    C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 13516
    -отправил вам для проверки...
    Нет их
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\Installer\a2fbf.msi','подозрение на Trojan-Downloader.Win32.Zlob.eih');
     QuarantineFile('C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe','подозрение на Trojan-Downloader.Win32.Zlob.eih');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=


    Да необходимо повторить логи
    Последний раз редактировалось akoK; 14.12.2007 в 15:16. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2007
    Сообщений
    25
    Вес репутации
    43
    Цитата Сообщение от akoK Посмотреть сообщение
    Эти параметры вы изменяли?
    Код:
    >>  Заблокирована настройка автоматического обновления
    >>  Таймаут завершения служб находится за пределами допустимых значений
    Ага, я менял, делаю обновления вручную ежедневно)
    все пофиксил, все выполнил, отправил:

    Файл сохранён как 071214_062653_virus_4762768db97cf.zip
    Размер файла 723255
    MD5 97929e65e8b5f2c940e75e9b637c8553

    сейчас новые логи буду делать)

  5. #4
    Junior Member Репутация
    Регистрация
    06.01.2007
    Сообщений
    25
    Вес репутации
    43
    вот -_-
    Вложения Вложения

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    C:\WINDOWS\system32\r_server.exe сами устанавливали Remote Administrator
    Microsoft Most Valuable Professional in Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2007
    Сообщений
    25
    Вес репутации
    43
    Цитата Сообщение от akoK Посмотреть сообщение
    C:\WINDOWS\system32\r_server.exe сами устанавливали Remote Administrator?
    вообще было дело, давно правда, но потом удалял о_О

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    Remote Administrator удаляем и пара файлов для успокоения души

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('r_server');
     QuarantineFile('C:\WINDOWS\system32\r_server.exe','');
     QuarantineFile('C:\Games\Lineage2 C4 + патчи (форсаж)\Lineage2 C4\system\npkcrypt.sys','');
     QuarantineFile('c:\huadio.tmp','');
     DeleteFile('C:\WINDOWS\system32\r_server.exe');
     BC_ImportALL;
     DeleteService('r_server');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

    Опять же если не используете то:

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O9 - Extra button: Cool Flash Player - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\PROGRA~1\CFLASH~1\source.html
    O9 - Extra 'Tools' menuitem: &Search SWF Files - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\PROGRA~1\CFLASH~1\source.html
    O9 - Extra button: Отправить статью или интересную работу на DelphiWorld@mail.ru - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:delphiworld@mail.ru?subject=I_want_to_send_you_article&body=Hello___Nikolay (file missing)
    O9 - Extra 'Tools' menuitem: Отправить свою статью или интересную чужую работу на DelphiWorld@mail.ru - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:delphiworld@mail.ru?subject=I_want_to_send_you_article&body=Hello___Nikolay (file missing)
    Последний раз редактировалось akoK; 14.12.2007 в 17:09.
    Microsoft Most Valuable Professional in Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    06.01.2007
    Сообщений
    25
    Вес репутации
    43
    Файл сохранён как 071214_080858_virus_47628e7a077fe.zip
    Размер файла 1762
    MD5 badf1350ef0a706b697592261dd65e5f

    Добавлено через 3 минуты

    AVZ попрежнему находит :
    3. Сканирование дисков
    C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 13516
    C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 13516

    Неужели это не вирус? О_о
    Последний раз редактировалось SOKOL; 14.12.2007 в 17:12. Причина: Добавлено

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    Цитата Сообщение от SOKOL Посмотреть сообщение
    Файл сохранён как 071214_080858_virus_47628e7a077fe.zip
    Размер файла 1762
    MD5 badf1350ef0a706b697592261dd65e5f

    Добавлено через 3 минуты

    AVZ попрежнему находит :
    3. Сканирование дисков
    C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 13516
    C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 13516




    Неужели это не вирус? О_о

    Эти файлы только уходили в карантин на иследование

    Добавлено через 19 минут

    C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe - чист
    >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX - надо сбросить настройки IE по дефолту
    Больше ничего не вижу какие проблемы остались?


    P.S. По C:\WINDOWS\Installer\a2fbf.msi ответ будет позже (хотя я подозреваю, что все впорядке)
    Последний раз редактировалось akoK; 14.12.2007 в 19:04. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    06.01.2007
    Сообщений
    25
    Вес репутации
    43
    да проблем нету, были подозрения))) да и файл както странно называется оО
    большое спасибо =)

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,313
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\mp3 player utilities 4.00\\deldrv.exe - not-a-virus:RiskTool.Win32.Deleter.e


  • Уважаемый(ая) SOKOL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. трояны
      От Gross в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 17.06.2010, 21:12
    2. Трояны
      От kba в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.11.2009, 21:22
    3. трояны
      От vanda в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2009, 09:08
    4. Трояны
      От betsy в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 03:10
    5. PSW трояны
      От user9 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.01.2008, 22:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00149 seconds with 17 queries