Показано с 1 по 11 из 11.

sanitardiska (+) Trojan.Win32.BHO.abo (заявка № 15352)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    4
    Вес репутации
    60

    Thumbs up sanitardiska (+) Trojan.Win32.BHO.abo

    Пару дней назад из трея вылезло сообщение "Защитите свою конфиденциальность" от "sanitardiska.com". В связи с этим отправился сюда, скачал утилит и нашёл "Trojan.Win32.BHO.abo" в c:\windows\system32\olesvr3.dll.
    Это уже было описано здесь
    и здесь, - взял оттуда скрипт, переделал:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    DelBHO('{47CA5CAD-7A58-4D24-99A6-D8CB4FD7D636}');
    QuarantineFile('.sys','');
    StopService('ihgxiuth');  
    QuarantineFile('C:\WINDOWS\system32\Drivers\whjgyzbk.dat','');
    DeleteFile('C:\WINDOWS\system32\Drivers\whjgyzbk.dat');     
    BC_ImportALL;  
    BC_DeleteSvc('ihgxiuth');
    BC_Activate;
    ExecuteSysClean;
    SaveLog(GetAVZDirectory+'avzlog.txt');
    RebootWindows(true);
    end.
    и попытался выполнить - запускал два раза - он мне выдавал ругательные сообщения(см. avzlogScript.zip) (пофиксено не было) на третий убрал RebootWindows, выполнил (лог такой же), перезагрузился вручную - оказалось, что всё исправлено...(как?)

    По поводу всего этого возникли вопросы:
    1. Связаны ли "sanitardiska" и "Trojan.Win32.BHO.abo"?
    2. Следует ли из новых логов (_after), что система чиста?


    Ещё обнаружил интересную багофичу AVZ 4.29: он(больше некому) печатает в текстовом редакторе строчку "testtest...". Пока набирал это сообщение в блокноте появилась строчка
    Код:
    еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуык
    ееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
    еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
    с текущей позиции курсора (был в русской раскладке). AVZ в этот момент как раз начал "эвристическую проверку системы".
    Сначала подумал, что ещё какой-то вирус завёлся.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Код:
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
     Проверка отключена пользователем
    8. Поиск потенциальных уязвимостей
     Проверка отключена пользователем
     Проверка отключена пользователем
    Логи нужно делать по правилам путем выполнения стандартных скриптов...
    Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAP.EXE','');
     QuarantineFile('C:\WINDOWS\system32\olesvr3.dll','');
     DeleteFile('C:\WINDOWS\system32\olesvr3.dll');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;                                     
     RebootWindows(true);
    end.
    Карантин пришлите и сделайте логи по правилам

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    1 чужие скрипты использовать нельзя ...
    2 не хватает одного лога ... (лечения карантина) логи нужно делать по правилам ...
    3 это не баг AVZ ... так осуществляется поиск кейлогеров ...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\sojuscsi.sys','');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\sojubus.sys','');
    QuarantineFile('.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    карантин по правилам.

  6. #5
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    4
    Вес репутации
    60
    Сделал лог.

    olesvr3.dll в virusinfo_cure.zip
    sojuscsi.sys & sojubus.sys в virus.zip

    E_FATIAAP.EXE в карантин почему-то так и не добавился. В логе записано, что "Выполнен карантин файла C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AP.EXE", но в списке AVZ он так и не появился...
    А, вообще, это драйвер принтера от Epson, должен быть чист.
    Вложения Вложения
    Последний раз редактировалось opp; 16.12.2007 в 16:16.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от opp Посмотреть сообщение
    Ещё обнаружил интересную багофичу AVZ 4.29: он(больше некому) печатает в текстовом редакторе строчку "testtest...".
    Это именно фича. AVZ провоцирует таким образом кейлоггеры, а вы ей мешаете их залавливать, отбирая фокус ввода.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    После выполнения скриптов (моего и Alex_Goodwin) - сделайте полный набор логов по правилам для проверки

  9. #8
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    4
    Вес репутации
    60
    Цитата Сообщение от rubin Посмотреть сообщение
    После выполнения скриптов (моего и Alex_Goodwin) - сделайте полный набор логов по правилам для проверки
    вот
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Логи чистые.
    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Лишнее отключим.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    4
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    Логи чистые.
    Отлично, спасибо. Со службами я разберусь - нашёл неплохое описание здесь.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) opp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 17.12.2010, 16:44
    2. Ответов: 3
      Последнее сообщение: 18.07.2010, 01:09
    3. Ответов: 1
      Последнее сообщение: 30.06.2009, 08:47
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 08:11
    5. Packed.Win32.Monder.gen & sanitardiska.com
      От Klingzor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 05:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00142 seconds with 20 queries