Показано с 1 по 3 из 3.

[Trojan-Downloader.Win32.Stantinko.bct ] (заявка № 209786)

  1. 26.02.2017, 18:14 #1
    darkziman
    darkziman вне форума
    Junior Member Репутация
    Регистрация
    26.02.2017
    Сообщений
    1
    Вес репутации
    32

    [Trojan-Downloader.Win32.Stantinko.bct ]

    Здравствуйте на сервере под управлением Windows Server 2008 R2 появился вирус [Trojan-Downloader.Win32.Stantinko.bct ].
    Сидит он в файле C:\Windows\SysWOW64\ihctrl32.dll о чем постоянно сигнализирует Symantec Endpoint Protection.
    Программы на подобие Malwarebytes чистят только последствия работы вируса, то есть удаляют рекламные ссылки, которые тот качает.
    Сам антивирус не может его удалить, после перезагрузки он опять появляется.
    Сам нахожусь далеко от сервера (работаю через терминальную сессию), по этому не могу создать отчет в программе Autologger.
    Сделал образ автозагрузки в программе UVS.
    Изображения Изображения
    • Тип файла: jpg SyM.jpg (28.4 Кб, 4 просмотров)
    Вложения Вложения
    Ответить с цитированием Ответить с цитированием
  2.  Будь в курсе! Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     
  3. 26.02.2017, 18:15 #2
    Info_bot
    Info_bot вне форума
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    384
    Уважаемый(ая) darkziman, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
    Ответить с цитированием Ответить с цитированием
  4. 28.02.2017, 20:22 #3
    Vvvyg
    Vvvyg вне форума
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,573
    Вес репутации
    1086
    На время создания полного образа автозапуска вируса нет, только ссылка в реестре на его спутника - WSAUDIO.DLL.

    Скопируйте скрипт ниже в буфер обмена:
    Код:
    ;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 79132211B9E9317E0AA1AB5997A11205DAFFF47DC4EA942D892B2942AF292811E11BC3EFAE749E59E82124E445061F9069816DB220DD082C2F77A4C4C13DE40E 14 TrojanDownloader.Stantinko.Related1
chklst
delref %Sys32%\WSAUDIO.DLL
delref %SystemDrive%\PROGRAMDATA\VERSION\UPDATE\WINDOWS.VBS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\USERS\BTA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\BTA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.1_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\VOVA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.1_0\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\VOVA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.0_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_1\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\SVETA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.1_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\SAVULA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\SAVULA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.1_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\U1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\U1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.0_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\U2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\U2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.0_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\U4\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\U4\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.0_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\U5\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\U5\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.1_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\VASIL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\VASIL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.1_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\0.0.6.1_0\GOOGLE КОШЕЛЕК
delref %SystemDrive%\USERS\SLAVA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.0_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\SLAVA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\0.1.2.0_0\ПЛАТЕЖНАЯ СИСТЕМА ИНТЕРНЕТ-МАГАЗИНА CHROME
delref %SystemDrive%\USERS\BTAA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_1\GOOGLE*\U0414\U043E\U043A\U0443\U043C\U0435\U043D\U0442\U044B \U043E\U0444\U043B\U0430\U0439\U043D
delref %SystemDrive%\USERS\BTAA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.1_0\U041F\U043B\U0430\U0442\U0435\U0436\U043D\U0430\U044F \U0441\U0438\U0441\U0442\U0435\U043C\U0430 \U0418\U043D\U0442\U0435\U0440\U043D\U0435\U0442-\U043C\U0430\U0433\U0430\U0437\U0438\U043D\U0430 CHROME
deltmp
    Отключите временно антивирус. Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim
    Ответить с цитированием Ответить с цитированием
« Предыдущая тема | Следующая тема »

Похожие темы

  1. Карантин D5567DF95E5DD6B5B3D5A50FE7D380A6 [not-a-virus:AdWare.Win32.Esprot.aln, not-a-virus:Downloader.Win32.IObi= t.d]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 2
    Последнее сообщение: 03.02.2017, 23:16
  2. Карантин 4B119600EC7E79388BABAA540234049C [not-a-virus:NetTool.Win32.NetFilter.qb, not-a-virus:NetTool.Win32.NetF= ilter.v]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 2
    Последнее сообщение: 25.01.2017, 03:47
  3. Карантин DAF26BA143A81A62E817F827AFD82378 [Trojan-Downloader.Win32.Bavload.a, Trojan-Downloader.Win32.Stantinko.b= ]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 2
    Последнее сообщение: 05.12.2014, 04:05
  4. Карантин 9AB3FD8C24712D205539B45ED9941E33 [Trojan-Downloader.Win32.Bavload.a, Trojan-Downloader.Win32.Stantinko.c ]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 2
    Последнее сообщение: 05.12.2014, 03:55
  5. Карантин A3E771E85595C3891BD0BE528C9F6642 [not-a-virus:HEUR:RemoteAdmin.Win32.Agent.gen, not-a-virus:RemoteAdmin.= Win32.Ammyy.yuc]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 2
    Последнее сообщение: 05.12.2014, 03:55

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Правила форума

Page generated in 0.00746 seconds with 17 queries