Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Trojan-Downloader.Win32.Small.cxx + mass mailer software +... (заявка № 22317)

  1. #1
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59

    Thumbs up Trojan-Downloader.Win32.Small.cxx + mass mailer software +...

    Касперски обнаружил трояны написаные в теме, лог "Сканирование системы для вирусинфо" не смог сделать так как при проверке памяти вылетает "синий экран смерти", также каспер обнаружил еще какието инвадеры и hidden-install
    Вложения Вложения
    Последний раз редактировалось Shu_b; 01.05.2008 в 09:07.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    virusinfo_cure.zip из темы уберите, это карантин. Его пришлите по ссылке вверху темы "Прислать запрошенный карантин".
    Прикрепите 2 лога AVZ по правилам: http://virusinfo.info/showthread.php?t=1235
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    Сканирование avz удалось выполнить только в "безопасном режиме" виндоус, потому что при попытке запустить скрипты в нормальном режиме появлялся "синий экран смерти"
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Выполните в обычном режиме:

    Скачать,меню,File,появится аналог проводника,найти:WLCtrl32.dll,Fcm41.sys,Otxe64.sys ,Wdi27.sys ,правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Otxe64.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Fcm41.sys','');    
    QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
    QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe','');
    QuarantineFile('C:\WINDOWS\kavir.exe','');
    QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp srv','');
    QuarantineFile('C:\WINDOWS\system32\1031z.exe','');
    QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv','');
    QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp srv','');
    QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\Wdi27.sys','');
    QuarantineFile('Otxe64.sys','');
    QuarantineFile('Fcm41.sys','');
    QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
    DeleteService('seclogonHidServ');
    DeleteService('Wdi27');
    DeleteService('Otxe64');    
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('Fcm41.sys');
    DeleteFile('Otxe64.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Fcm41.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Otxe64.sys');    
    DeleteFile('C:\WINDOWS\system32\Drivers\Wdi27.sys');
    DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv');
    DeleteFile('C:\WINDOWS\system32\1031z.exe');
    DeleteFile('C:\WINDOWS\kavir.exe');
    DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
    DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
    DeleteFile('WLCtrl32.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('seclogonHidServ ');
    BC_DeleteSvc('Wdi27 ');
    BC_DeleteSvc('Otxe64 ');
    BC_DeleteSvc('Fcm41 ');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22317

    Очистите временные папки,кеш браузера и повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    "Торможение" компютера и браузера пропала, но при попытке сделать логи авз в норманом режиме виндовс появлялся "синий экран", антивирус недавно выдавал сообщение о вирусе в оперативной памяти, также сообщил о подозрении на winlogon.exe("invader"). Выкладываю повторные логи
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    есть подозрения что внедрился троян-даунлоадер, переодически чето качаеться с интернета

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    maxpaynow1.exe,vedxga1me4t1.exe,vedxg6ame4.exe-Trojan-Downloader.Win32.Tibs.zl
    WLCtrl32.dll-свежий
    Otxe64.sys-Rootkit.Win32.Agent.aih
    kavir.exe-Email-Worm.Win32.Zhelatin.yd
    1031z.exe- Backdoor.Win32.IRCBot.csn

    Отключите обязательно антивирус и интернет!

    Выполнять в обычном режиме.

    В IceSword сделайте вот этим файликам Hnr73.sys,Xil28.sys,WLCtrl32.dll Force Delete.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_QrSvc('COMSysAppSQLBrowser ');
    BC_QrSvc('EventlogMDM ');
    BC_QrSvc('RemoteAccessRemoteAccess ');
    BC_QrSvc('Tomcat5MSSQL$SQLEXPRESS ');
    QuarantineFile('C:\WINDOWS\system32\drivers\Pvv59.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Xil28.sys ',' ');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Xei40.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Wdi72.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc72.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Pva62.sys','');
    QuarantineFile('C:\WINDOWS\system32\1042e.exe','');
    DeleteService('Xei40');
    DeleteService('Wdi72');
    DeleteService('Qwc72');
    DeleteService('Pva62');
    DeleteService('Lrx73');
    DeleteService('Hnr73');
    DeleteService('upnphostNetlogon');
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\Hnr73.sys');
    DeleteFile('Xil28.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Xil28.sys');
    DeleteFile('C:\WINDOWS\system32\1042e.exe');
    DeleteFile('C:\WINDOWS\System32\Drivers\Lrx73.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Pva62.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Qwc72.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Wdi72.sys');
    DeleteFile('C:\WINDOWS\System32\Drivers\Xei40.sys');
    DeleteFile('C:\WINDOWS\system32\drivers\Pvv59.sys');
    DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
    DeleteFile('WLCtrl32.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('Xei40 ');
    BC_DeleteSvc('Wdi72 ');
    BC_DeleteSvc('Qwc72 ');
    BC_DeleteSvc('Pva62 ');
    BC_DeleteSvc('Lrx73 ');
    BC_DeleteSvc('Hnr73 ');
    BC_DeleteSvc('upnphostNetlogon ');
    BC_DeleteSvc('Xil28 ');    
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22317

    Повторите логи.

  9. #8
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    Логи теперь выполнились в нормальном режиме виндос, токо заметил еще вирус при сканирование авз, вот логи
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    похоже что какой то троян еще качает с интернета

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Второго карантина после скрипта из поста номер 7 от Вас нет. Закачайте пожалуйста.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Вы в IceSword удаляли C:\WINDOWS\system32\WLCtrl32.dll?

  13. #12
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    Да, C:\WINDOWS\system32\WLCtrl32.dll удалял айсвордом, также там был WLCtrl32.dl_ его тоже удалил, карантин закачал

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    У Вас куча гадости на компьютере.
    Запустите IceSword, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\Drivers\Lrx73.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Затем выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
     QuarantineFile('WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lrx73.sys','');
     QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp','');
     QuarantineFile('C:\WINDOWS\system32\acluizb.exe','');
     QuarantineFile('C:\WINDOWS\system32\accwizh.exe','');
     QuarantineFile('C:\WINDOWS\system32\aaaamonw.exe','');
     QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv','');
     QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('Lrx73.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('Lrx73.sys');
     DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\5.tmp srv');
     DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\3.tmp srv');
     DeleteFile('C:\WINDOWS\system32\aaaamonw.exe');
     DeleteFile('C:\WINDOWS\system32\accwizh.exe');
     DeleteFile('C:\WINDOWS\system32\acluizb.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lrx73.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nkv2.sys');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteSvc('RemoteAccessRemoteAccess');
     BC_DeleteSvc('MDMCreativeNtLmSsp');
     BC_DeleteSvc('EventlogMDM');
     BC_DeleteSvc('COMSysAppSQLBrowser');
     BC_DeleteSvc('CreativeNtLmSsp');
     BC_DeleteSvc('MDMCreativeNtLmSspNla');
     BC_DeleteSvc('USB2_04');
     BC_DeleteSvc('Lrx73');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин и сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    mass mail software обнаружен, еще раз пересканирую касперским с новыми базами все диски, возможно вирус спрятался где то на другом диске, кстати вопрос насчет антивируса, если есть KAV есть смысл ставить еще и КIS? последние логи прикреплены, карантин закачано
    Вложения Вложения

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В IceSword сделайте Force Delete вот этим файлам:WLCtrl32.dll,Jpu05.sys.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Java\Tomcat-5.5\bin\tomcat5.exe','');
    DeleteService('Jpu05');
    DeleteFile('C:\WINDOWS\System32\drivers\Jpu05.sys');
    DeleteFile('WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\system32\acleditm.exe');
    DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp srv');
    DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\18.tmp');
    DeleteFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp');
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Jpu05 ');
    BC_DeleteSvc('ERSvcwscsvc');
    BC_DeleteSvc('ThemesHTTPFilter');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22317

    Повторите логи.
    Последний раз редактировалось Гриша; 02.05.2008 в 16:30.

  17. #16
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    Повторные логи, карантин закачал
    Вложения Вложения

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Еще небольшой штрих

    Пофиксить

    Код:
    O1 - Hosts: 89.111.185.33 seotraff.cn
    O1 - Hosts: 89.111.185.33 gopanda.cn
    O1 - Hosts: 213.186.126.105 gopanda.cn
    O1 - Hosts: 89.111.185.33 wiz2wix.com
    Это ваш провайдер:

    Код:
    JSC UKRTELECOM
    18, Shevchenko blvd
    Ukraine, Kiev
    Если нет пофиксить

    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6
    O17 - HKLM\System\CS1\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6
    O17 - HKLM\System\CS2\Services\Tcpip\..\{2902478C-F979-4FF3-BB58-EB8CA3926171}: NameServer = 195.5.46.11,82.207.67.6
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_QrSvc('Tomcat5MSSQL$SQLEXPRESS');
    QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp','');
    QuarantineFile('C:\DOCUME~1\ts_\LOCALS~1\Temp\9.tmp srv','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин по правилам.Очистите временные папки,кеш браузера.
    Последний раз редактировалось Гриша; 02.05.2008 в 23:45.

  19. #18
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    Карантин закачал, в папке windows\temp есть файлы типа cch~46fe28d6.htp, их было много когда троян качал с интернета, эти файлы не опасны?

  20. #19
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    очистите папку с временными файлами системы и временными интернет файлами.

  21. #20
    Junior Member Репутация
    Регистрация
    03.04.2008
    Сообщений
    19
    Вес репутации
    59
    Большое вам спасибо

  • Уважаемый(ая) mhubskyy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Mass-mailer software
      От nerijus003 в разделе Malware Removal Service
      Ответов: 3
      Последнее сообщение: 21.12.2009, 22:20
    2. Mass-mailer software в servises.exe
      От Niketg в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.05.2009, 20:44
    3. Mass-mailer software
      От kepmake в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:17
    4. Mass-mailer software
      От IDDQD в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 05:09
    5. Mass-mailer software Kav 6
      От regButch в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.07.2008, 11:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01296 seconds with 20 queries