-
Junior Member
- Вес репутации
- 59
Подцепил трояна. Активно рассылает почту.
Здравствуйте!
пару недель сижу инфицированный.
Симптомы:- комп.начинает рассылать письма во все концы.
- какой-то гад слушает tcp порты (все время разные) и по команде извне спамит
- восстановление системы не отключается. Чекбокс серый. Видна часть надписи "(заблокировано группо"
- CureIT ничего не нашел
- логи прилагаю.
все сделал по инструкции кроме:- не отключил восстановление системы (нет такой возможности)
- в процессе проверки не смог отключить Norton Internet Security (не знаю как это сделать не удалив его)
В качестве временной меры включил блокировку входящих TCP соединений. Неделю жил нормально, но вот вчера вирус опять активизировался (видимо, сидит в планировщике?). Разослал десяток писем и утих.
С уважением,
Последний раз редактировалось saga; 13.03.2008 в 11:00.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\glmf.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19575).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Bratez
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\glmf.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут:
http://virusinfo.info/upload_virus.php?tid=19575).
Bratez, все сделал как сказано.
Обратил внимание, что продолжают какие-то гады попытки законнектиться по TCP (приложение с моей стороны уже никакое не отвечает). Предположил, что ломятся на адрес/порт, который помнят.
Я перегрузил маршрутизатор, поменял IP-адрес на компе (раньше выдавался автоматом, теперь сделал статикой). Пока тишина.
В логах NIS обнаружил такую запись (создана 1.5 часа назад):
Source: C:\WINDOWS\system32\drivers\vdizmza2.sys
Risk category: Virus
Overall Risk Impact: High
Click for more information about this risk : Trojan Horse
Action taken: Blocked
Файла такого в директории уже нет.
Высылаю карантин согласно правил.
P.S. такая вот странная активность обнаружена после запуска Skype.
Details: Connection: 130.117.72.100: 12350.
from JHOMEV6V: 1191.
314 bytes sent.
209727 bytes received.
17.453 elapsed time.
В лог NIS записано минуту спустя:
Details: An instance of "C:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\SSAutoRN.exe" is preparing to access the Internet.
Что теперь нужно сделать?
Можно ли вернуть автоматическое получение ip-адреса?
-
Давайте подождём ответ вирлаба по поводу запрошенного файла. Вирустотал выдаёт такой результат:
Антивирус Версия Обновление Результат
AntiVir 7.6.0.73 2008.03.11
TR/Hijacker.Gen
AVG 7.5.0.516 2008.03.11
Downloader.Small.60.AO
eSafe 7.0.15.0 2008.03.09
suspicious Trojan/Worm
Ikarus T3.1.1.20 2008.03.11
Virus.Win32.Small.IKB
Microsoft 1.3301 2008.03.10
VirTool:Win32/Obfuscator.L
Sophos 4.27.0 2008.03.11
Sus/Behav-1021
Webwasher-Gateway 6.6.2 2008.03.11
Trojan.Hijacker.Gen
-
Junior Member
- Вес репутации
- 59
Сообщение от
wise-wistful
Давайте подождём ответ вирлаба по поводу запрошенного файла. Вирустотал выдаёт такой результат:
прошу прощения.
Вернул автоматическое получение адреса и получил прежний адрес.
Открыл фильтр на входящие tcp соединения.
Тут же комп бросился рассылать письма.
Поэтому высылаю еще раз свежие логи AVZ и HijackThis.
В данный момент активно ломятся внешние хосты. Пока входящие TCP коннекты запрещены почта не отсылается. Как только порты открываю - начинается безобразие.
Последний раз редактировалось saga; 13.03.2008 в 11:00.
-
Пришлите по правилам файл:
C:\Temp\Downloads\MobileBalance\MobileBalance.exe
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Bratez
Пришлите по правилам файл:
C:\Temp\Downloads\MobileBalance\MobileBalance.exe
Здравствуйте!
файл выложил по ссылке http://virusinfo.info/upload_virus.php?tid=19575
Это программка мониторинга состояния счетов мобильных телефонов.
Программка куплена за деньги. В настоящий момент ходит на сайты:
- мегафона
- билайна
- точка.ру
- аллоинкогнито
- центробанка
в общем, там вряд ли что будет интересного.
-
glmf.dll - вирлаб дал ответ, что чистый.
-
Junior Member
- Вес репутации
- 59
Сообщение от
wise-wistful
glmf.dll - вирлаб дал ответ, что чистый.
АГА, замечательно. Что делать дальше?
Последние логи 2-мя поставми выше
-
Junior Member
- Вес репутации
- 59
что делать дальше?
друзья!
есть шанс на спасение? Какие действия нужно выполнить?
Высылаю последние логи.
Последний раз редактировалось saga; 13.03.2008 в 14:47.
-
Junior Member
- Вес репутации
- 59
Троян активно рассылает почту.
Здравствуйте!
пару недель сижу инфицированный.
Симптомы:- комп.начинает рассылать письма во все концы.
- какой-то гад слушает tcp порты (все время разные) и по команде извне спамит
- восстановление системы не отключается. Чекбокс серый. Видна часть надписи "(заблокировано группо"
- CureIT ничего не нашел
- логи прилагаю.
все сделал по инструкции кроме:- не отключил восстановление системы, т.к. чекбокс отключения не кликабелен. Видна часть надписи "(заблокировано группо". Подскажите как это сделать?
- в процессе проверки не смог отключить Norton Internet Security (не знаю как это сделать не удалив его)
В качестве временной меры включил блокировку входящих TCP соединений. Неделю жил нормально, но вот вчера вирус опять активизировался. Разослал десяток писем и утих.
Вирлаб проверил некий файл glmf.dll и сказал, что он чист.
Подскажите, что нужно сделать?
заранее признателен,
-
зря темы плодите писали бы в той же ....
glmf.dll - не верю что чистый ....
плфиксите ( если что потом вернем)
Код:
O20 - Winlogon Notify: glmf - C:\WINDOWS\SYSTEM32\glmf.dll
hijackthis повторите ....
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
зря темы плодите писали бы в той же ....
glmf.dll - не верю что чистый ....
плфиксите ( если что потом вернем)
Код:
O20 - Winlogon Notify: glmf - C:\WINDOWS\SYSTEM32\glmf.dll
hijackthis повторите ....
А что значит "пофиксите"?
лог высылаю.
-
http://virusinfo.info/showthread.php?t=4491
стоит прочитать правила там много интеоресного написано ... и все вопросы исчезнут .... http://virusinfo.info/showthread.php?t=1235
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
Спасибо за ссылку на правила, еще раз перечитать было полезно (честно-говоря, за последние 5 дней перечитывал раз 30).
Для меня, как новичка, в Вашем посте было совсем не очевидно, что пофиксить нужно именно с помощью HijackThis.
Сделал, как Вы указали. Безобразия пока прекратились.
Выслать опять .dll-ку для исследования?
Лог прилагаю.
-
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
вышлите ...
Закачал.
Название файла 080314_162711_virus_47daedaf39cc7.zip
Что нужно делать дальше?
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\SYSTEM32\glmf.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\SYSTEM32\glmf.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
скрипт выполнил.
логи высылаю.
-
Больше ничего подозрительного нет.
Проблема осталась?
I am not young enough to know everything...
-