Показано с 1 по 16 из 16.

Взломали банк-клиент [not-a-virus:RemoteAdmin.Win32.RMS.gz, Trojan-Spy.Win32.Agent.cucq ] (заявка № 175992)

  1. #1
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    71
    Вес репутации
    57

    Взломали банк-клиент [not-a-virus:RemoteAdmin.Win32.RMS.gz, Trojan-Spy.Win32.Agent.cucq ]

    Добрый день. Система Win7 x64. Вчера позвонили из банка сообщили что был взлом , просьба проверить компьютер на гадость.
    AVZ зависает на стадии проверки системы и не отвисает приходиться убивать процесс, можно ли еще как то сделать лог AVZ? второй лог в приложении
    А, еще появилась Новая учетная запись "Бухгалтерия Help" c паролем

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) tr0nik, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Антивирус отключали перед запускjм AVZ?
    Если не поможет, из безопасного режима сделайте.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    71
    Вес репутации
    57
    AVZ лог во вложении

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Какие из средств удалённого управления ваши?

    c:\windows\syswow64\spom\rfusclient.exe - Remote Manipulator System
    c:\programdata\ammyy\wmihost.exe - Ammyy Admin
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    71
    Вес репутации
    57
    Когда-то пользовались Ammyy Admin и тимвьювер установлен, а вот Remote Manipulator System даже не слышал

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    С учётом, что файл c:\programdata\ammyy\wmihost.exe создан: 27.01.2015 15:06:01, примерно в то же время, что и Remote Manipulator System - будем считать оба вражескими лазутчиками.

    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\programdata\ammyy\wmihost.exe');
     TerminateProcessByName('c:\windows\syswow64\spom\rutserv.exe');
     TerminateProcessByName('c:\windows\syswow64\spom\rfusclient.exe');
     QuarantineFile('C:\Windows\system32\msphqghu.exe', '');
     QuarantineFile('C:\Users\0282~1\AppData\Local\Temp\svchost.exe', '');
     QuarantineFile('c:\programdata\ammyy\wmihost.exe', '');
     QuarantineFile('c:\windows\syswow64\spom\rutserv.exe', '');
     QuarantineFile('c:\windows\syswow64\spom\rfusclient.exe', '');
     DeleteFile('c:\windows\syswow64\spom\rfusclient.exe', '32');
     DeleteFile('c:\windows\syswow64\spom\rutserv.exe', '32');
     DeleteFile('c:\programdata\ammyy\wmihost.exe', '32');
     DeleteFile('C:\Users\0282~1\AppData\Local\Temp\svchost.exe', '32');
     DeleteFile('C:\Windows\system32\msphqghu.exe', '32');
     DeleteService('Network Adapter Events');
     DeleteFileMask('c:\programdata\ammyy', '*', true);
     DeleteFileMask('c:\windows\syswow64\spom', '*', true);
     DeleteDirectory('c:\programdata\ammyy');
     DeleteDirectory('c:\windows\syswow64\spom');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    71
    Вес репутации
    57
    Карантин прикрепил и 2й скрипт AVZ тоже

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    71
    Вес репутации
    57
    прикрепил

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Битый образ. Делайте с отключённым антивирусом опять же, или в безопасном.
    Удалите старые вложения перед тем, как прикреплять снова.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    71
    Вес репутации
    57
    С отключенным антивиром и щас в безопаснос сделал, но кажется он все-равно поврежден, под сполером логи работы программы

    2015.01.29 15:50
    2015.01.29 11:50 (UTC)
    --------------------------------------------------------
    SeDebug привилегии получены
    SeRestore привилегии получены
    SeBackup привилегии получены
    SeShutdown привилегии получены
    SeTakeOwnership привилегии получены
    SeLoadDriver привилегии получены
    SeManageVolume привилегии получены
    SeSecurity привилегии получены
    SeTcb привилегии получены
    SeImpersonate привилегии получены
    SeAssignPrimaryToken привилегии получены
    SeCreateTokenPrivilege привилегии получены
    SeIncreaseQuotaPrivilege привилегии получены
    --------------------------------------------------------
    Сигнатур в базе: 0
    Загружено поисковых критериев: 0
    --------------------------------------------------------
    uVS v3.85.3 [[url

    http://dsrt.dyndns.org]:[/url] Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
    64-х битный модуль активирован
    UAC: 0
    Свободно физической памяти 2925Mb из 3989Mb
    Свободно на системном диске: 400.9GB
    Boot: Fail-safe with network
    --------------------------------------------------------
    Internet Explorer v9.11.9600.17207
    --------------------------------------------------------
    Текущий пользователь: Бухгалтерия-ПК\Бухгалтерия
    uVS запущен под пользователем: Бухгалтерия-ПК\Бухгалтерия
    Имя компьютера: БУХГАЛТЕРИЯ-ПК
    --------------------------------------------------------
    HOSTS:
    C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
    Всего: 0
    --------------------------------------------------------
    Persistent routes:
    0.0.0.0,0.0.0.0,192.168.2.1,-1
    Всего: 1
    --------------------------------------------------------
    Загружено реестров пользователей: 1
    Построение списка процессов и модулей...
    Анализ автозапуска...
    Построение списка системных модулей и драйверов...
    VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
    IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
    MBR#0 [465.8GB]: Неизвестный загрузчик SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
    Анализ файлов в списке...
    Анализ завершен.
    Список готов.
    Сбор дополнительной информации о файлах в списке...
    Альтернативный режим сканирования
    Построение списка процессов и модулей...
    Сбор дополнительной информации...
    Анализ автозапуска...
    Построение списка системных модулей и драйверов...
    VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
    IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
    MBR#0 [465.8GB]: Неизвестный загрузчик SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
    Анализ файлов в списке...
    Анализ завершен.
    Список готов.
    Проверка цифровых подписей...
    (!) Ошибка проверки подписи: C:\CONSULTANT\RUNA\REF4000\RUNAREF.EXE
    Ошибка [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ]
    --------------------------------------------------------
    (!) Поврежден файл: C:\PROGRAM FILES (X86)\TOTAL COMMANDER\TOTALCMD.EXE
    (!) Ошибка проверки подписи: C:\CONSULTANT\RUNA\REF4000\REF4000.EXE
    Ошибка [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ]
    --------------------------------------------------------
    (!) Сертификат аннулирован C:\PROGRAM FILES (X86)\DAEMON TOOLS LITE\DTGADGET64.DLL
    (!) Сертификат аннулирован C:\PROGRAM FILES (X86)\DAEMON TOOLS LITE\DTGADGET32.DLL
    (!) Поврежден файл: C:\PROGRAM FILES (X86)\PDF-XCHANGE VIEWER\PDFXCVIEW.EXE
    Формирование списка...
    C:\WINDOWS\SYSWOW64\WPCUMI.DLL [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSWOW64\WPCMIG.DLL [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSWOW64\COMPMGMTLAUNCHER.EXE [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSWOW64\VAULTCREDPROVIDER.DLL [Не удается найти указанный файл. ]
    C:\PROGRAM FILES\JAVA\JRE6\BIN\NPJPI160_24.DLL [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSWOW64\WIN32K.SYS [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSWOW64\IE4UINIT.EXE [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\MSSPELLCHECKINGFACILITY.DLL [Не удается найти указанный файл. ]
    C:\SYSPREP\LOG.BAT [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\DRIVERS\VGASAVE.SYS [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\DRIVERS\WUDFUSBCCIDDRIVER.SYS [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\DOGKMUB.DLL [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\BETWINPROXYVS.DLL [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\DRIVERS\BETWINSYSTEMVS.SYS [Не удается найти указанный файл. ]
    D:\CDRIVER64.SYS [Устройство не готово. ]
    D:\NTIOLIB_X64.SYS [Устройство не готово. ]
    C:\WINDOWS\SYSTEM32\RDPSSW32.EXE [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\PSXSS.EXE [Не удается найти указанный файл. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL [Системе не удается найти указанный путь. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL [Системе не удается найти указанный путь. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSTEM32\IGFXCFG.EXE [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL [Синтаксическая ошибка в имени файла, имени папки или метке тома. ]
    C:\WINDOWS\SYSTEM32\SHAREMEDIACPL.CPL [Не удается найти указанный файл. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSTEM32\OLE2.DLL [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSWOW64\TAPILUA.DLL [Не удается найти указанный файл. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSWOW64\RSTRUI.EXE [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSWOW64\FXSUTILITY.DLL [Не удается найти указанный файл. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSWOW64\LISTSVC.DLL [Не удается найти указанный файл. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSWOW64\SRCORE.DLL [Не удается найти указанный файл. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSWOW64\SETUP\FXSOCM.DLL [Не удается найти указанный файл. ]
    F:\ПФР 2 КВ 2014\CHECKPFR\MIDAS.DLL [Системе не удается найти указанный путь. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSWOW64\WPCCPL.DLL [Не удается найти указанный файл. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSWOW64\GPSVC.DLL [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSWOW64\IDLISTEN.DLL [Не удается найти указанный файл. ]
    C:\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL [Системе не удается найти указанный путь. ]
    F:\ПФР 2 КВ 2014\CHECKPFR\CHECK.EXE [Системе не удается найти указанный путь. ]
    F:\ПФР 2 КВ 2014\CHECKPFR\UNINS000.EXE [Системе не удается найти указанный путь. ]
    C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPATA.SYS [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS [Не удается найти указанный файл. ]
    C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_DUMPFVE.SYS [Не удается найти указанный файл. ]
    Сохранено 4024 объектов
    Архивация...
    C:\Users\Бухгалтерия\Desktop\uVS\БУХГАЛТЕРИЯ-ПК_2015-01-29_15-51-46
    Операция успешно завершена.
    ]
    Скрыть
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Нет, сейчас в порядке.

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.85.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    delref SYSTEM32\BETWINSERVICEVS.EXE
    delref %Sys32%\RDPSSW32.EXE
    delref %Sys32%\BETWINPROXYVS.DLL
    delref %Sys32%\DOGKMUB.DLL
    delref %Sys32%\DRIVERS\BETWINSYSTEMVS.SYS
    deltmp
    restart
    Компьютер перезагрузится.

    Удалите Java(TM) 6 Update, это устаревшая версия со множеством критических уязвимостей.
    Установите Java 8 Update 31 - у меня с клиентами на ibank2 работает.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  15. Это понравилось:


  16. #14
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    71
    Вес репутации
    57
    стала выходить ошибка при запуске многих приложений 1.jpg

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Обновления устанавливали?

    - - - - -Добавлено - - - - -

    Библиотеки Microsoft Visual C++ 20xx Redistributable Package обновляли?

    КриптоПро CSP не обновляли?

    Здесь почитайте, по набору программ похоже.
    WBR,
    Vadim

  18. Это понравилось:


  19. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\programdata\ammyy\wmihost.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.and ( DrWEB: Program.RemoteAdmin.701 )
      2. c:\windows\system32\msphqghu.exe - Trojan-Spy.Win32.Agent.cucq ( AVAST4: Win32:Malware-gen )
      3. c:\windows\syswow64\spom\rfusclient.exe - not-a-virus:RemoteAdmin.Win32.RMS.gz ( BitDefender: Trojan.Generic.11387218 )
      4. c:\windows\syswow64\spom\rutserv.exe - not-a-virus:RemoteAdmin.Win32.RMS.hn ( BitDefender: Trojan.Generic.12177955 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) tr0nik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Блокируется вход в банк клиент
      От S751 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.08.2013, 17:46
    2. не могу зайти в клиент-банк
      От Алексей 130887 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.05.2011, 15:28
    3. Ответов: 9
      Последнее сообщение: 18.09.2009, 18:35
    4. Ответов: 5
      Последнее сообщение: 05.07.2009, 17:16
    5. Не работает клиент-банк
      От Anna_ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.05.2009, 11:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01232 seconds with 18 queries