Показано с 1 по 17 из 17.

Есть троян (заявка № 20343)

  1. #1
    Junior Member Репутация
    Регистрация
    24.03.2008
    Сообщений
    14
    Вес репутации
    36

    Thumbs up Есть троян

    То что чтото не так я понял из активности двух экранов в трее когда ее не должно быть и увеличения трафика.
    После долгих попыток победить троян пришел к следующему:
    Отчет в Анти-хакер Касперского:
    24.03.2008 12:17:58 C:\WINDOWS\system32\winlogon.exe Запретить любую TCP-активность с указанным адресом 608 заблокировано Исходящее TCP 69.46.27.141 80 127.0.0.1 1582
    24.03.2008 12:18:03 C:\WINDOWS\system32\winlogon.exe Запретить любую TCP-активность с указанным адресом 608 заблокировано Исходящее TCP 66.232.113.80 80 127.0.0.1 1583
    24.03.2008 12:18:08 C:\WINDOWS\system32\winlogon.exe Запретить любую TCP-активность с указанным адресом 608 заблокировано Исходящее TCP 67.228.160.10 80 127.0.0.1 1584

    Такие тройные попытки соединения это приложение делает каждые 20 секунд.Все что смог сделать запретить любую активность.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    А зачем вам 2 экрана?

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\METATR~1\terminal.exe','');
     QuarantineFile('C:\Program Files\WebMoney Advisor\wmadvisor.dll','');
     QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
     QuarantineFile('C:\WINDOWS\DEEPSP~1.SCR','');
     QuarantineFile('C:\WINDOWS\system32\sessmgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Wek63.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
     QuarantineFile('C:\WINDOWS\system32\p2001.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20343

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от drongo Посмотреть сообщение
    А зачем вам 2 экрана?
    Думаю, что это "Сетевое подключение" так назвали.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    24.03.2008
    Сообщений
    14
    Вес репутации
    36
    "Думаю, что это "Сетевое подключение" так назвали. "
    Абсолютно точно)
    Вот сейчас загружаю архив 2,6 Мб
    Это для Вас нормально?
    И кажется я начал его загружать не авторизовавшись
    Но посмотрим
    Загрузил вроде
    Но не уверен что успешно,что скажете?
    Последний раз редактировалось So10; 24.03.2008 в 16:10. Причина: Дополнение

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    Карантин получен.
    Повторите логи.

  7. #6
    Junior Member Репутация
    Регистрация
    24.03.2008
    Сообщений
    14
    Вес репутации
    36
    Простите,что значит повторить логи?

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Сделать как впервый раз исследование системы АВЗ и HJT. И выложить новые 3 лога, т.е. virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log.

  9. #8
    Junior Member Репутация
    Регистрация
    24.03.2008
    Сообщений
    14
    Вес репутации
    36

    Новые логи

    Это понятно.
    Троян сожрал мой месячный лимит трафика,так что может я пока исчезну,но Вы не вычеркивайте меня из списка живих)
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Извините, что не смогли Вам быстро помочь.
    То, что попало в карантин:
    WLCtrl32.dll - Trojan-Downloader.Win32.Agent.luo (по Касперскому)

    Готовьтесь к серьезному лечению.

    Скачать: http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    24.03.2008
    Сообщений
    14
    Вес репутации
    36
    Спасибо Вам что Вы помогаете и с терпением относитесь к нашим проблемам.
    Скачал приложение.
    Разархивировал в отдельную папку.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Запустить "китайский меч", в окно найти:
    'C:\WINDOWS\system32\Drivers\Wek63.sys','WLCtrl32. dll', нажать force delete, подтвердить Ок.

    выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\Drivers\a347bus.sys','');
    QuarantineFile('C:\WINDOWS\DEEPSP~1.SCR','');
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\Wek63.sys','');
    QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\system32\SiKernel.dll','');
    DeleteFile('C:\WINDOWS\system32\SiKernel.dll');
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\Wek63.sys');
    DeleteFile('WLCtrl32.dll');
    DelWinlogonNotifyByFileName('WLCtrl32.dll');
    RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32');
    DelBHO('{0140DF95-9128-4053-AE72-F43F0CFCA062}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    
    end.
    Сделать новые логи, начиная с п.10.
    Загрузить карантин через ссылку вверху темы.
    Последний раз редактировалось PavelA; 25.03.2008 в 11:17. Причина: Добавил файлы ТНК kps
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    24.03.2008
    Сообщений
    14
    Вес репутации
    36
    Здравствуйте)
    Я опять в деле.
    Предложенные действия привели к удалению файлов.
    Вредоносной активности не наблюдается.
    Но,как и требовалось загружаю логи и карантин
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего подозрительного

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    DEEPSP~1.SCR_, Deep_Space_Complete.scr_, nwiz.exe_, SiKernel.dll,
    terminal.exe_

    Вредоносный код в файлах не обнаружен.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    24.03.2008
    Сообщений
    14
    Вес репутации
    36
    Спасибо Вам всем .

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 65
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.luo (DrWEB: Trojan.DownLoader.50037)


  • Уважаемый(ая) So10, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозреваю что есть троян
      От AndreySh в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.05.2010, 20:36
    2. Кажется в системе есть троян
      От teovolkot в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.09.2009, 08:41
    3. Есть подозрение на троян
      От podoleg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.12.2008, 20:52
    4. Есть подозрение на троян
      От alpach в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.11.2008, 22:57
    5. Есть подозрение на троян
      От movies в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.06.2008, 19:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00767 seconds with 17 queries