Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

F-Secure on line scaner нашел Malware.BHNJ и Trojan-Spy.Win32.Webmoner.fi (заявка № 16053)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60

    Thumbs up F-Secure on line scaner нашел Malware.BHNJ и Trojan-Spy.Win32.Webmoner.fi

    Проверил копьютер он-лайн сканером F-Secure. Антивирус нашел 2 вируса: Malware.BHNJ и Trojan-Spy.Win32.Webmoner.fi , один из них, как я понимаю, - троян, крадущий пароли. Нортон, который постоянно установлен на компьютере, как видно, все это время "ловил мышей". После этого шокирующего открытия проделал все процедуры, описанные на страничке "Правила! Читать перед запросом о помощи!". Но вот, что напрягает. На сайте SpyLog не могу обнаружить в своем эккаунте свои сервисы, такое впечатление, что сервисы управления счетчиками/статистикой моих сайтов перемещены из эккаунта неизвестно куда. Это косвенно указывает на то, что с паролями у меня не все в порядке. Пока ситуацию с другими паролями/сайтами не проверял, хочу вначале навести порядок в компьютере.

    P.S. Прикрепил лог F-Secure

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60

    Прикрепил логи

    см. сабж.
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 07.01.2008 в 05:14.

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60

    И еще логи

    Может, они дублируют предыдущие логи, а может быть и нет. Прикрепил на всякий случай. Кажется один заархивированный лог мог быть затерт (записан поверх созданного ранее), т.к. одно из сканирований было повторено. Поэтому прикрепил файлы в формате .txt для страховки.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Выполните скрип, аосле перезагрузки карантин по правилам.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\update.exe','');
     QuarantineFile('C:\WINDOWS\AUTOLO~1\AL2DLL.dll','');
     QuarantineFile('c:\windows\system32\hddsvc.exe','');
     QuarantineFile('c:\documents and settings\admin\Рабочий стол\christmas.exe','');
     DeleteFile('C:\WINDOWS\update.exe');
    ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\update.exe');
    BC_Activate;
    RebootWindows(true);
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60
    Спасибо. Скрипт выполнил. Но, кажется, скрипт нашел только 2 файла: christmas.exe и AL2DLL.dll из перечисленных в теле скрипта. Остальные не найдены. Архив с карантином посылаю через форму на сайте.

    P.S. Не знаю, важно ли это, но файлов update.exe полно в других местах на C: (а не в том, которое было указано в скрипте)
    Последний раз редактировалось Lex1; 07.01.2008 в 13:26. Причина: Добавил P.S.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в карантине 2 файла .... оба чистые ...
    C:\WINDOWS\AUTOLO~1\AL2DLL.dll
    c:\documents and settings\admin\Рабочий стол\christmas.exe ...
    пришлите update.exe согласно правилам .... повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60

    Спасибо.

    Высылаю карантин. Кстати, было найдено огромное количество файлов update.exe на С: и несколько на D:. Но вот, что интересно, ни один из найденных на С: почемуто в архиве не сохранился. Поэтому в архиве только файлы с D:

    Поэтому прикрепляю лог поиска (Протокол.txt), чтобы было все понятно. Кстати, Вы имели в виду этот лог, когда говорили о логах? Или надо было прислать какие то другие логи?
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    эти логи мы не понимаем логи нужны те, которые из http://virusinfo.info/showthread.php?t=1235

  10. #9
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60
    Сейчас буду делать логи.

    А пока хотел спросить вот еще про что. После того, как делал предыдущие логи и запускал с этой целью avz.exe и HijackThis.exe, теперь при каждой загрузке системы появляется сообщение: "Найдено новое устройство", хотя никакое новое железо не устанавливал.

    Когда смотришь это "неизвестное устройство" через Диспетчер устройств, то в Сведениях видно такое:

    Код экземпляра устройства: ROOT\LEGACY_UZE5NTEX\0000
    Флаги Devnode:
    DN_ROOT_ENUMERATED
    DN_HAS_PROBLEM
    DN_DISABLEABLE
    DN_NT_ENUMERATOR
    DN_NT_DRIVER

    и т.п.

    Это может иметь какое то отношение к проблеме?

  11. #10
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60

    логи

    Добавлены логи:
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    интересует именно C:\WINDOWS\update.exe ..

  13. #12
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60

    update.exe - не понятно...

    Это значит, надо этот файл прислать? Но если его в папке WINDOWS нет? Никакие средства просмотра такого файла в папке WINDOWS не обнаруживают (нет там такого файла C:\WINDOWS\update.exe), в том числе и утилита avz.exe его тоже не видит. Что она видит на диске (при поиске файла update.exe) я прислал раньше, эта информация содержится в файле Протокол.txt (см. выше).

    Или этот файл присутствует, но его не видно? Это вы имели в виду? Как же тогда его "достать"?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    значит его уже нет ..... (удален) ...
    больше ничего подозрительного ...

  15. #14
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60

    C:\WINDOWS\update.exe - не понятно...

    А почему тогда на диске утилита видит какие то "клоны" этого файла? Что она видит на диске (при поиске файла update.exe) я прислал раньше, эта информация содержится в прикрепленном файле Протокол.txt (см. выше).

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    это не клоны это совсем разные файлы .... просто с тем же именем ... те что вы присылали чистые ...( все четыре разные)

  17. #16
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60
    Большое спасибо за помощь.

    Просто, как то не понятно, что это за файлы (зафиксированные в Протокол.txt):

    C:\WINDOWS\$hf_mig$\KB901017\update\update.exe
    C:\WINDOWS\$hf_mig$\KB890859\update\update.exe
    C:\WINDOWS\$hf_mig$\KB894391\update\update.exe
    C:\WINDOWS\$hf_mig$\KB905749\update\update.exe
    C:\WINDOWS\$hf_mig$\KB896428\update\update.exe
    C:\WINDOWS\$hf_mig$\KB900725\update\update.exe
    C:\WINDOWS\$hf_mig$\KB901214\update\update.exe
    C:\WINDOWS\$hf_mig$\KB896358\update\update.exe
    C:\WINDOWS\$hf_mig$\KB890046\update\update.exe
    C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
    C:\WINDOWS\$hf_mig$\KB920670\update\update.exe
    .................................................. .....................

    и т.д...

    Значит, уже все нормально? Больше никаких подозрительных файлов нет и можно считать, что проблема устранена и в компьютере "все чисто"?
    Последний раз редактировалось Lex1; 07.01.2008 в 23:01. Причина: Добавлено

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    это обновления windows ....

  19. #18
    Junior Member Репутация
    Регистрация
    07.01.2008
    Адрес
    Киев
    Сообщений
    12
    Вес репутации
    60

    спасибо

    Спасибо!

    Значит, больше ничего делать не надо?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    можно закрыть лишнее...
    из этого списка ...
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    можно готовиться к обороне : Отключить что не нужно:
    Код:
    Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    , не загружаться под админом, гулять по инету с файрвоксом + noscript...

  • Уважаемый(ая) Lex1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 30.04.2010, 18:59
    2. Trojan-PSW.Win32.WebMoner.nm (nl) и прочие проблемы
      От divers в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 27.01.2010, 10:39
    3. Веб нашел Trojan.***.Webmoner
      От Лариса в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:00
    4. Trojan-Spy.Win32.Webmoner.do
      От Mr.Page в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.09.2007, 20:28
    5. Trojan-PSW.Win32.WebMoner.j
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 3
      Последнее сообщение: 04.05.2007, 13:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00522 seconds with 18 queries