Показано с 1 по 17 из 17.

Помогите Trojan-PSW.Win32.agent.wg и др. (заявка № 16423)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    8
    Вес репутации
    60

    Thumbs up Помогите Trojan-PSW.Win32.agent.wg и др.

    В четверг супруга неудачно сходила в инет. В результате Каспер (KIS7) стал постоянно кричать о вирусах. Всего было несколько, но чаще всего Trojan.Win32.KillAV.nj, Trojan.Win32.KillAV.ne и Trojan-PSW.Win32.agent.wg (все названия от КИСа).
    Каспер их вроде как удалял, но безуспешно. В пятницу почитал этот форум, скачал CureIt - почти помогло. ВЫлечила под 200 сотни файлов. Остался только Trojan-PSW.Win32.agent.wg. Решил не заморачиваться (зря) и подождать, что КИС его убьет после очередного обновления. Сегодня опять зоопарк. Добавились SpamTool.Agent32.ej, Trojan.Win32.VB.bkr, Trojan-PSW.Win32.agent.wa, плюс все старые уже якобы удаленные.
    Сделал логи, но напортачил с первым логом от AVZ - делал его при включенном KIS и отключенном браузере. А времени переделывать нет - завтра вставать рано. Плюс опять же в первом логе, видимо, более инфа по тем вирусам, что AVZ уже нашел и изолировал.
    Последний раз редактировалось Oleg72; 14.01.2008 в 23:34. Причина: не прикрепил файлы с логами

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    8
    Вес репутации
    60

    Пытаюсь прикрепить файлы

    Править предыдущее сообщение не дает.
    Вложения Вложения

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Можно констатировать (исходя из приведённых названий зловредов), что пароли у Вас уже могли "увести".

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true,true);
    QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB61}\ICON_SetupPPC.exe','');
    QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB61}\ICON_LingvoInst.exe','');
    QuarantineFile('C:\WINDOWS\Installer\68c780.msi','');
    DeleteFile('C:\Documents and Settings\Administrator\admin.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    Последний раз редактировалось Kuzz; 14.01.2008 в 23:58. Причина: Добавлено
    The worst foe lies within the self...

  5. #4
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    8
    Вес репутации
    60

    Спасибо, вечером попробую

    До или после выполнения скрипта нужно выполнить обычные "танцы"? С лечением Cure-IT и пр.?
    И еще вопрос. Не дадите рекомендаций по затыканию дыр - АВЗ в отчете перечислил ряд уязвимостей. А то я в этом деле лох.

    Добавлено через 7 минут

    Вспомнил! После поста минут через 5-10 выслал карантин. Вроде все перечисленные файлы в нем были.
    Последний раз редактировалось Oleg72; 15.01.2008 в 10:07. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Что из этого не нужно? ПК домашний или офисный?
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Повторите логи.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Крайне необходимо не забыть сменить пароли и ограничить доступ жене к ресурсам Интернет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от PavelA Посмотреть сообщение
    и ограничить доступ жене к ресурсам Интернет.
    Или урезать учетную запись жены в правах.

  9. #8
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    8
    Вес репутации
    60

    Комп домашний

    Уязвимости постараюсь позакрывать. Удаленные помощники мне не нужны. Как впрочем и любые другие . Только это займет некоторое время.
    Жену переведу на Оперу или Мозиллу.

    Так все таки лечение до или после скрипта проводить нужно?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Где повторные логи?

  11. #10
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    8
    Вес репутации
    60

    вот логи

    ВЫполнил скрипт. Архив с карантином только что выслал:
    Файл сохранён как080115_125759_virus_478d0237aea76.zipРазмер файла1715500MD5cb9770d8c0cae24c7e9852f3c49582b1

    Потом провел проверку CureIT - ничего не нашла. После нее логи - вот они.

  12. #11
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    8
    Вес репутации
    60

    не прикрепились

    вот они
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
    O21 - SSODL: VStorage - {7576D671-F8BB-4F12-8873-1D8E5C69C333} - swmclip.dll (file missing)
    для закрытия потенциальных уязвимостей .... если нет логкальной сети .... выполните скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  14. #13
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    8
    Вес репутации
    60

    щас пофиксю

    сперва только разберусь как
    Кстати я уже после отправкеи логов закрыл все эти службы через панель управления. Это что-то меняет?

    RemoteRegistry (Remote Registry)
    TermService (Terminal Services)
    SSDPSRV (SSDP Discovery Service)
    Schedule (Task Scheduler)
    mnmsrvc (NetMeeting Remote Desktop Sharing)
    RDSessMgr (Remote Desktop Help Session

    Добавлено через 13 минут

    После перезагрузки в "Службах" все эти функции остались отключенными:
    RemoteRegistry (Remote Registry)
    TermService (Terminal Services)
    SSDPSRV (SSDP Discovery Service)
    Schedule (Task Scheduler)
    mnmsrvc (NetMeeting Remote Desktop Sharing)
    RDSessMgr (Remote Desktop Help Session

    Все равно запустить предложенный скрипт?
    Последний раз редактировалось Oleg72; 15.01.2008 в 22:55. Причина: Добавлено

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    можно запустить ....

  16. #15
    Junior Member Репутация
    Регистрация
    14.01.2008
    Сообщений
    8
    Вес репутации
    60

    пофиксил и запустил

    новые логи
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    если проблем больше нет лечение можно считать завершенным....

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Oleg72, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите справиться с вирусами Worm.Win32.Agent.adx и Trojan.Win32.Chydo.axd (заявка №108954)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 02.09.2011, 18:01
    2. Ответов: 1
      Последнее сообщение: 30.06.2009, 08:47
    3. Ответов: 4
      Последнее сообщение: 12.03.2009, 14:39
    4. Ответов: 8
      Последнее сообщение: 04.03.2009, 23:19
    5. Помогите справится с Trojan-PSW.Win32.Agent.mcv
      От СашаПи в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 02.03.2009, 23:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00301 seconds with 20 queries