Показано с 1 по 15 из 15.

Похоже на Trojan.Proxy.1824 (заявка № 15643)

  1. #1
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    39

    Thumbs up Похоже на Trojan.Proxy.1824

    Человек сходил по ссылке (постить здесь не буду) в итоге при подключении сетевого кабеля к компу, начинаются попытки отправить электронку. На компе кстановлен симантюк 10 управляемая с сервака. Прогнал в безопасном cureit, нашел Trojan.Proxy.1824 и еще какой-то троянчик, удалил. После ребута ситуация не изменилась. Антивири грят что все чисто.
    Проверял с включенным симантюком, отключить достаточно сложно (управляется через сервер).

    зы Пробую вложить файлы, грит что вы не можете этого сделать у вас нет прав, хотя ниже написано что я могу выкладывать файлы в этом разделе.
    Последний раз редактировалось jener; 25.12.2007 в 12:02. Причина: пробую вложить файлы

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    логи выкладывать можно, подозрительные файлы только по ссылке вверху темы и только как указано , разве не понятно?

    ссылку можно в личку .

  4. #3
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    39
    Нажимаю "правка", "расширенный режим", "управление вложениями", через "обзор", добавляю файлы 3 шт, "загрузить", "подождите идет загрузка" и после отлуп :

    jener, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

    Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
    Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
    Последний раз редактировалось jener; 25.12.2007 в 14:19.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Тогда закачайте логи на файлообменник и дайте ссылки. Например, на http://virusinfo.ifolder.ru/

  6. #5
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    39
    http://ifolder.ru/4712585
    Ссылки с которых вирус стянули кинул в личку drongo.

    прикреплено.
    Вложения Вложения
    Последний раз редактировалось Shu_b; 25.12.2007 в 16:30.

  7. #6
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    39
    При первом осмотре осмотре NAV 10 нашло Infostealer.Banker.C и Trojan.Gpcoder.E потом осмотр ничего не находит.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Логи AVZ нужны в html формате, а не xml.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    39
    Вот в нужном формате
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
     QuarantineFile('C:\WINDOWS\Mstray.exe','');
     QuarantineFile('c:\windows\system32\msdi32.dll','');
     DeleteFile('c:\windows\system32\msdi32.dll');
     DeleteFile('C:\WINDOWS\Mstray.exe');
     DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(11);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    39
    Логи после скрипта
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Лог HijackThis также хотелось бы увидеть.

    В карантине 4 шт. Worm.Win32.Feebs.ml под разными именами.
    Выполните такой скрипт для их удаления:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\Poznansky.SERVERS\Рабочий стол\msdos.pif');
    DeleteFile('C:\WINDOWS\idmtwyd.pif');
    DeleteFile('C:\WINDOWS\t.pif');
    DeleteFile('C:\WINDOWS\yvtcuta.pif');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    39
    Выкладываю лог HiJackThis, хоят в принципе после выполнения последнего скрипта проблема решилась. Спасибо всем за помощ.
    Ненужные службы отключил.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O21 - SSODL: msdi32.dll - {283CC6E1-099A-840F-EFA6-D7C06F216429} - (no file)

  15. #14
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    39
    Цитата Сообщение от V_Bond Посмотреть сообщение
    пофиксите ...
    Код:
    O21 - SSODL: msdi32.dll - {283CC6E1-099A-840F-EFA6-D7C06F216429} - (no file)
    Что вы имеете ввиду?

    Добавлено через 16 минут

    Всё спасибо разобрался
    Последний раз редактировалось jener; 27.12.2007 в 11:30. Причина: Добавлено

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\poznansky.servers\\рабочий стол\\msdos.pif - Worm.Win32.Feebs.ml (DrWEB: Win32.HLLM.Graz.based)
      2. c:\\windows\\idmtwyd.pif - Worm.Win32.Feebs.ml (DrWEB: Win32.HLLM.Graz.based)
      3. c:\\windows\\t.pif - Worm.Win32.Feebs.ml (DrWEB: Win32.HLLM.Graz.based)
      4. c:\\windows\\yvtcuta.pif - Worm.Win32.Feebs.ml (DrWEB: Win32.HLLM.Graz.based)


  • Уважаемый(ая) jener, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    2. Trojan.Recycle,Trojan.Ipsof,Trojan.Proxy и.т.д.
      От Smart в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:07
    3. Ответов: 18
      Последнее сообщение: 30.05.2008, 12:57
    4. Trojan.downloader.origin., trojan.proxy., BN2.tmp, BN3.tmp, load8
      От Vedmedya в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.04.2008, 21:39
    5. Ответов: 22
      Последнее сообщение: 22.05.2007, 10:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00343 seconds with 17 queries