Показано с 1 по 8 из 8.

Вирус в msn (заявка № 26266)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    4
    Вес репутации
    35

    Thumbs up Вирус в msn

    Здравствуйте!
    Один из пользователей сетки поймал в windows messandger'е вирус. Получилось что прислали ему картинку с неизвестного адреса, он, не смутившись что картинка даже в проводнике была заявлена как ms-doc приложение открыл ее. Картинка, само собой, не открылась. Зато его msn начал пересылать эту же картинку всем остальным людям в контактном листе, начали открываться, закрываться окошки в msn'е. Проверяю антивирусами - выясняется что NOD32 не работает. Пытаюсь снести - говорит что setup.xml испорчен или удален. В поиске этих файлов нахожу avira, которая тоже не удаляется, но и не запускается.
    При просмотре списка процессов вижу запущенный IExplorer.exe. А пользователь на опере сидит. Убиваю, через секунду он опять появляется. При этом трафик показывает что за час он 5 метров скачал и 5 метров отправил, инет не открыт. Работает только аська. Почту не получали, не отправляли. Завершаю msn, сразу же останавливается закачка. И IExplorer процесс пропадает.
    AVZ не находит. Пользователь постарался, dr.web воткнул, тоже типа ничего.
    Вот логи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Карантин удалите из темы (файл virusinfo_cure.zip). Он хоть и пустой, но по правилам - нельзя.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\SiSPower.dll','');
     QuarantineFile('C:\WINDOWS\system32\ktd.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\amon.sys','');
     DeleteService('Passthru');
     StopService('Passthru');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
     QuarantineFile('C:\WINDOWS\system32\sirenacm.dll','');
     QuarantineFile('c:\documents and settings\user\vpm.exe','');
     DeleteFile('c:\documents and settings\user\vpm.exe');
     DeleteFile('C:\WINDOWS\system32\ktd.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26266

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\user\vpm.exe \o
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ktd] C:\WINDOWS\system32\ktd.exe \j
    Эти строки Вам известны?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{46FA2D42-C501-4FD0-9774-C931AF62FB9A}: NameServer = 83.239.128.30,83.239.131.8
    O17 - HKLM\System\CS1\Services\Tcpip\..\{46FA2D42-C501-4FD0-9774-C931AF62FB9A}: NameServer = 83.239.128.30,83.239.131.8
    O17 - HKLM\System\CS2\Services\Tcpip\..\{46FA2D42-C501-4FD0-9774-C931AF62FB9A}: NameServer = 83.239.128.30,83.239.131.8
    если нет - пофиксить.

    3. Повторите логи.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    4
    Вес репутации
    35
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Карантин удалите из темы (файл virusinfo_cure.zip). Он хоть и пустой, но по правилам - нельзя.
    Извините, а как его удалить?
    Эти строки Вам известны?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{46FA2D42-C501-4FD0-9774-C931AF62FB9A}: NameServer = 83.239.128.30,83.239.131.8
    O17 - HKLM\System\CS1\Services\Tcpip\..\{46FA2D42-C501-4FD0-9774-C931AF62FB9A}: NameServer = 83.239.128.30,83.239.131.8
    O17 - HKLM\System\CS2\Services\Tcpip\..\{46FA2D42-C501-4FD0-9774-C931AF62FB9A}: NameServer = 83.239.128.30,83.239.131.8
    Да, известны. Это наш DNS сервер.

    Строку
    O4 - HKLM\..\Run: [ktd] C:\WINDOWS\system32\ktd.exe \j
    в HJ не нашла.


    Вот логи:
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Ждем ответа вирусных аналитиков.
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    4
    Вес репутации
    35
    Ждем с нетерпением. А уж пользователь то как ждет, отрезанный от интернета....
    Можно сейчас хотя-бы сказать на что это похоже: троян, руткит, спай???

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    C:\WINDOWS\system32\ktd.exe и c:\documents and settings\user\vpm.exe - Backdoor.Win32.Wollf.j (DrWeb:Trojan.Virtumod.based.18 )

    Вроде чисто.

    Как самоощущения при работе?
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    4
    Вес репутации
    35
    Пока находится под наблюдением. Подключила интернет пользователю. Посмотрю на трафик, на отзывы из контактного листа.
    Будут проблемы, напишу. В любом случае, спасибо.

    Добавлено через 53 минуты

    Все отлично. Вирус пропал. Спасибо вам огромное
    Последний раз редактировалось NightWind; 11.07.2008 в 14:03. Причина: Добавлено

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\user\\vpm.exe - Backdoor.Win32.Wollf.j (DrWEB: Trojan.Virtumod.based.1
      2. c:\\windows\\system32\\drivers\\ndisio.sys - Rootkit.Win32.Agent.dcr
      3. c:\\windows\\system32\\ktd.exe - Backdoor.Win32.Wollf.j (DrWEB: Trojan.Virtumod.based.1


  • Уважаемый(ая) NightWind, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00908 seconds with 16 queries