Показано с 1 по 8 из 8.

Penetrator [Trojan-Downloader.Win32.VB.bnp, ] (заявка № 36592)

  1. #1
    Junior Member Репутация
    Регистрация
    01.01.2008
    Адрес
    Днепр
    Сообщений
    80
    Вес репутации
    37

    Exclamation Penetrator [Trojan-Downloader.Win32.VB.bnp, ]

    На компьютере у знакомой вчера исчезли все аудио файлы, а на фото-файлах и вордовских файлах отображается рисунок Penetrator.

    При открытии любого текста появляется вот это:

    *НА… ПОСЛАНА, …., ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, …., ИШЕШЬ ВИНОВНИКА!! …. …. , …. ….!! ХАХАХАХ \Penetrator\
    MY ICQ: 402974020
    JB17*
    Последний раз редактировалось IRON PRIEST; 18.07.2009 в 10:35.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953
    1. Выполните скрипт AVZ (Файл/выполнить скрипт):
    Код:
    begin
     SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
     QuarantineFile('C:\WINDOWS\system32\DETER177\smss.exe','');
     QuarantineFile('C:\WINDOWS\system32\DETER177\svсhоst.exe','');
     QuarantineFile('C:\WINDOWS\system32\DETER177\*.exe','');
     QuarantineFile('c:\windows\system32\аhtоmsys19.exe','');
     TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
     TerminateProcessByName('C:\WINDOWS\system32\DETER177\lsass.exe');
     TerminateProcessByName('C:\WINDOWS\system32\DETER177\smss.exe');
     QuarantineFile('c:\windows\system32\deter177\smss.exe','');
     DeleteFile('c:\windows\system32\deter177\smss.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
     DeleteFile('c:\windows\system32\аhtоmsys19.exe'); 
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    В ходе выполнения скрипта компьютер перезагрузится, после чего пришлите пожалуйста содержимое карантина AVZ согласно правилам

    2. Повторите исследование и приложите новые протоколы для контроля, а также сообщите, исчезли проблемы или нет.

  4. #3
    Junior Member Репутация
    Регистрация
    01.01.2008
    Адрес
    Днепр
    Сообщений
    80
    Вес репутации
    37
    Так. скрипт выполнен. Исследование выполнено заново. Логи:


    Поведение компьютера осталось без изменений(((
    Последний раз редактировалось IRON PRIEST; 18.07.2009 в 10:35.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от IRON PRIEST Посмотреть сообщение
    Так. скрипт выполнен. Исследование выполнено заново. Логи:


    Поведение компьютера осталось без изменений(((
    Не удивительно, зверь по прежнему виден в логах.
    Выполните скрипт:
    Код:
    begin
     SetAVZGuardStatus(True);
     ClearQuarantine;
     TerminateProcessByName('c:\windows\system32\аhtоmsys19.exe');
     TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
     TerminateProcessByName('C:\WINDOWS\system32\DETER177\lsass.exe');
     TerminateProcessByName('C:\WINDOWS\system32\DETER177\smss.exe');
     SetupAVZ('SCAN='C:\WINDOWS\system32');
     SetupAVZ('DelVir=Y');
     RunScan;
     DeleteFile('c:\windows\system32\deter177\smss.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
     DeleteFile('c:\windows\system32\аhtоmsys19.exe'); 
     DeleteFileMask('C:\WINDOWS\system32\DETER177','*.exe', false);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    При копировании следует обратить особое внимание на то, что при копировании скрипта в буфер и вставке его в AVZ нужно включить русскую раскладку клавиатуры !! Дело в том, что в именах файлов есть русские буквы, идентичные по начертанию с латинскими.
    2. Точно отключены все антивирусы и аналогичное им защитное ПО ?
    Последний раз редактировалось Зайцев Олег; 01.01.2009 в 21:40.

  6. #5
    Junior Member Репутация
    Регистрация
    01.01.2008
    Адрес
    Днепр
    Сообщений
    80
    Вес репутации
    37
    Что-то ничего не получается

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от IRON PRIEST Посмотреть сообщение
    Что-то ничего не получается
    У этого зловреда иконка имеет вид папки, поэтому можно запускать его с флешки не замечаяя этого. Но в общем странная ситуация - положенный по правилам DrWEB CureIT его детектит и лечит, AVZ его тоже детектит и лечит, предложенные скрипты его убивают ...
    Попробуйте еще раз скрипт:
    Код:
    begin
     SetAVZGuardStatus(True);
     ClearQuarantine;
     TerminateProcessByName('c:\windows\system32\аhtоmsys19.exe');
     TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
     TerminateProcessByName('C:\WINDOWS\system32\DETER177\lsass.exe');
     TerminateProcessByName('C:\WINDOWS\system32\DETER177\smss.exe');
     SetupAVZ('SCAN=C:\WINDOWS\system32');
     SetupAVZ('DelVir=Y');
     RunScan;
     DeleteFile('c:\windows\system32\deter177\smss.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
     DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
     DeleteFile('c:\windows\system32\аhtоmsys19.exe'); 
     DeleteFileMask('C:\WINDOWS\system32\DETER177','*.exe', false);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    Он должен прибить зловреда с гарантией, я проверил это на полигоне на данном звере

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    После вышеуказанных рекомедаций, выполните еще такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     QuarantineFile('c:\program files\google\googletoolbar1.dll','');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     QuarantineFile('C:\Program Files\Common Files\Windows Live\.cache\c5bde6401c9660b\fssclient_x86.msi','');
     QuarantineFile('C:\WINDOWS\Installer\125d17.msi','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\extensions\tmagent@tmagency.net\components\fftma.dll','');
     DeleteFile('C:\Program Files\Mozilla Firefox\extensions\tmagent@tmagency.net\components\fftma.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\deter177\\lsass.exe - Trojan-Downloader.Win32.VB.bnp (DrWEB: Win32.HLLW.Kati)
      2. c:\\windows\\system32\\deter177\\smss.exe - Trojan-Downloader.Win32.VB.bnp (DrWEB: Win32.HLLW.Kati)
      3. c:\\windows\\system32\\deter177\\svсhоst.exe - Trojan-Downloader.Win32.VB.bnp (DrWEB: Win32.HLLW.Kati)
      4. c:\\windows\\system32\\аhtоmsys19.exe - Trojan-Downloader.Win32.VB.bnp (DrWEB: Win32.HLLW.Kati)


  • Уважаемый(ая) IRON PRIEST, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Penetrator
      От artyarty в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 04.01.2012, 00:55
    2. penetrator
      От zlichu в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.12.2009, 17:44
    3. Penetrator
      От pavlik74 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2009, 20:09
    4. Penetrator Penetrator
      От akalibr в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.07.2009, 08:53
    5. Penetrator
      От Alex_d.fm в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.01.2009, 13:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00762 seconds with 16 queries