Показано с 1 по 16 из 16.

WinReanimator (заявка № 19398)

  1. #1
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    14
    Вес репутации
    59

    Thumbs up WinReanimator

    Здравствуйте, темы про сабж все чаще стали появлятся, но поскольку противопоказанно выполнять чужие скрипты, решил тоже тему создать, да и судя по логам в системе не только он.

    Системник принесли на "оживление", как сказали без защиты он был 1.5 месяца, при обычных загрузках синие экраны.. из безопасного прогнал cureit, он удалил 22 трояна.. система стала грузится, но реаниматор на месте.. симптомы аналогичные: утечка трафика, отключение защитного ПО, запуск только с переименованных exe'шников

    Скан и подготовку сделал по правилам, логи прилагаю
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\windows\system32\systempro.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
     QuarantineFile('C:\WINDOWS\9129837.exe','');
     QuarantineFile('C:\Program Files\WinReanimator\WinReanimator.exe','');
     QuarantineFile('C:\Documents and Settings\ANATOLY\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\DOCUME~1\ANATOLY\LOCALS~1\Temp\winlogon.exe','');
     BC_DeleteSvc('msupdate');
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\Program Files\WinReanimator\WINREANIMATOR.DLL','');
     QuarantineFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.core.dll','');
     QuarantineFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.exe','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\users32.dat','');
     TerminateProcessByName('80c0ca25.exe');
     DeleteFile('80c0ca25.exe');
     DeleteFile('C:\WINDOWS\system32\users32.dat');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.exe');
     DeleteFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.core.dll');
     DeleteFile('C:\Program Files\WinReanimator\WINREANIMATOR.DLL');
     DeleteFile('C:\DOCUME~1\ANATOLY\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\ANATOLY\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\Program Files\WinReanimator\WinReanimator.exe');
     DeleteFile('C:\WINDOWS\9129837.exe');
     DeleteFile('C:\WINDOWS\system32\cru629.dat');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\windows\system32\systempro.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ....

  4. #3
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    14
    Вес репутации
    59
    карантин прислал, повторяю логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
    O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.nodialup.name/ciuccia.exe
    O20 - AppInit_DLLs: cru629.dat
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\users32.dat');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\system32\cru629.dat');
     DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
     DeleteFile('C:\WINDOWS\cru629.dat');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Обновите базы AVZ! Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    14
    Вес репутации
    59
    сделал, ожил касперский, перестал генерится braviax.exe

    логи с новыми базами (прошу прощение, та система без сети, сразу не сообразил просто файлы баз перекинуть)
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните следующий скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\ANATOLY\Local Settings\Temporary Internet Files\Content.IE5\LG87PDCT\Installer2[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
     QuarantineFile('C:\Program Files\WinReanimator\install.exe','');
     QuarantineFile('C:\HONDA\patchv800\EPC_patch\EPC_Patch.exe','');
     DeleteFile('C:\Program Files\WinReanimator\install.exe');
     DeleteFile('C:\WINDOWS\system32\winivstr.exe');
     DeleteFile('C:\Documents and Settings\ANATOLY\Local Settings\Temporary Internet Files\Content.IE5\LG87PDCT\Installer2[1].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Новый карантин пришлите по правилам.
    Очистите временные файлы IE через "Свойства обозревателя".
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    14
    Вес репутации
    59
    сделал, карантин отправил

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\HONDA\patchv800\EPC_patch\EPC_Patch.exe -чистый...
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    14
    Вес репутации
    59
    логи
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Надежные узлы - сами добавляли ?

  12. #11
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    14
    Вес репутации
    59
    нет, дело рук троянов скорее всего=)

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Тогда пофиксите это:
    Код:
    O15 - Trusted Zone: www.2mug.com
    O15 - Trusted Zone: www.extremeaccess.info
    O15 - Trusted Zone: www.nodialup.name
    O15 - Trusted Zone: www.sgnappo.com
    O15 - Trusted Zone: www.sgrunt.biz
    O15 - Trusted Zone: www.whatsnew.name
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    14
    Вес репутации
    59
    а карантин, кроме EPC_Patch.exe , можно удалить?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    можно ...

  16. #15
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    14
    Вес репутации
    59
    зоны пофиксил, жалоб нет, все работает.. хелперам огромное спасибо=)

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\anatoly\\local settings\\temporary internet files\\content.ie5\\lg87pdct\\installer2[1].exe - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
      2. c:\\program files\\winreanimator\\install.exe - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
      3. c:\\program files\\winreanimator\\winreanimator.dll - not-a-virus:FraudTool.Win32.Reanimator.d (DrWEB: Trojan.Fakealert.452)
      4. c:\\program files\\winreanimator\\winreanimator.exe - not-a-virus:FraudTool.Win32.Reanimator.b (DrWEB: Trojan.Fakealert.452)
      5. c:\\windows\\system32\\braviax.exe - Hoax.Win32.Renos.bcz (DrWEB: Trojan.Packed.383)
      6. c:\\windows\\system32\\cru629.dat - Backdoor.Win32.Small.cyb (DrWEB: Trojan.Proxy.1739)
      7. c:\\windows\\system32\\drivers\\beep.sys - Backdoor.Win32.UltimateDefender.a (DrWEB: Trojan.Fakealert.45
      8. c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Small.srn (DrWEB: Trojan.DownLoader.26661)
      9. c:\\windows\\system32\\users32.dat - Trojan.Win32.Zapchast.fo (DrWEB: Trojan.Proxy.3204)
      10. c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452)
      11. c:\\windows\\system32\\.80c0ca25\\80c0ca25.core.dl l - Trojan.Win32.Pakes.chv (DrWEB: Trojan.Virtumod.based.14)
      12. c:\\windows\\system32\\.80c0ca25\\80c0ca25.exe - Trojan.Win32.Pakes.chw (DrWEB: Trojan.Virtumod.based.14)


  • Уважаемый(ая) call03, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поймал WinReanimator
      От RomanAK в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:55
    2. WinReanimator не могу удалить
      От tequomo в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:42
    3. WinReanimator
      От wheeller в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:35
    4. winreanimator
      От tomas123 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.04.2008, 18:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01184 seconds with 20 queries