Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Подозрение на троян (в списке процессов есть SOUNDMAN.EXE)) [Trojan-Downloader.Win32.Agent.ohi, Trojan.Win32.Vapsup.qis ] (заявка № 37433)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56

    Exclamation Подозрение на троян (в списке процессов есть SOUNDMAN.EXE)) [Trojan-Downloader.Win32.Agent.ohi, Trojan.Win32.Vapsup.qis ]

    Зловред удалил EXE-шник антивируса (Norton Antivirus), заблокировал диспетчер задач, и удалил в реестре ветку для загрузки в безопасном режиме. Ветку реестра я импортировал с такой же машины. После проверки AVP Tool и перезагрузки ветка опять была удалена без моего участия. Установить антивирус не получается.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Надо бы провериться Куреитом, записанным на СД.
    Есть подозрение на файловый вирус.

    AVZ неплохо повоевала, но это может оказаться бесполезным, если "Восст. системы" не отключено.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    Проверил систему Куреит запущенным с СиДи, восстановление системы как и при предыдущих проверках было отключено. Удалена куча файлов. В списке процессов soundman.exe продолжает присутствовать. Блокируется установка антивирусов.Судя по всему система остается зараженной. Логи AVZ и Hijack прилагаю.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вот что получилось:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{281c7cb1-271c-42cc-abff-ef9796949bbb}');
     QuarantineFile('C:\WINDOWS\qvlbodmnlaf.dll','');
     QuarantineFile('C:\WINDOWS\wetkadmr.dll','');
     QuarantineFile('cpyn563.exe/r','');
     QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
     QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe','');
     BC_DeleteSvc('Uck86');
     BC_DeleteSvc('Ucj75');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
     BC_DeleteSvc('Oxf18');
     BC_DeleteSvc('Ksa88');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Isa75.sys','');
     BC_DeleteSvc('Isa75');
     QuarantineFile('C:\WINDOWS\system32\drivers\jkjkjn.sys','');
     DeleteService('dpti930');
     QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
     BC_DeleteSvc('RemoteAccessAlerter');
     QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
     BC_DeleteSvc('Google Online Services');
     QuarantineFile('C:\WINDOWS\tdomgafw.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\jkjkjn.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ksa88.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Oxf18.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ucj75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Uck86.sys');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
     DeleteFile('C:\WINDOWS\system32\djki397g.dll');
     DeleteFile('cpyn563.exe/r');
     DeleteFile('C:\WINDOWS\qvlbodmnlaf.dll');
     DeleteFile('C:\WINDOWS\system32\WinData.cab');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Куреитом проверяли полностью машину?

    После выполнения скрипта загрузить карантин по Правилам.

    Сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    Куреитом делал полную проверку. Скрипт выполнил, карантин отправил. SOUNDMAN.exe все так же в списке процессов

  7. #6
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    Выкладываю логи
    Последний раз редактировалось Ookami15; 16.01.2009 в 16:19.

  8. #7
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    Прошу прощения, какая-то ерунда...не прикрепляются логи

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Удалите старые через "Мой кабинет"=>Вложения"

  10. #9
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    логи повторяю
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вот ответ по карантину.
    asc3550p.sys

    No malicious code was found in this file.

    ntos.exe_ - Trojan-Spy.Win32.Zbot.cuo,
    partnership.dll - Trojan-Proxy.Win32.Xorpix.ec,
    WinData.cab - Trojan-Downloader.Win32.Agent.ohi

    These files are already detected. Please update your antivirus bases.

    qvlbodmnlaf.dll - Trojan.Win32.Vapsup.qir,
    tdomgafw.dll - Trojan.Win32.Vapsup.qis

    New malicious software was found in these files. Detection will be included in the next update.
    Thank you for your help.
    Soundman - управлялка звуковой карты, чаще всего совершенно безобидная вещь.

    Добавлено через 6 минут

    Вот это профиксить:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE0AA25-B0FC-4A39-90F5-6D100CF35B27}: NameServer = 85.255.115.238,85.255.112.78
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.238 85.255.112.78
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.238 85.255.112.78
    O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
    O21 - SSODL: tdomgafw - {C778391D-4EEE-4D26-B51E-0955B29ADF7D} - C:\WINDOWS\tdomgafw.dll
    O21 - SSODL: wetkadmr - {586F1E1D-DDCE-4CC1-81E5-20949F275DBD} - C:\WINDOWS\wetkadmr.dll (file missing)
    Локальную сетку скорее всего придется настраивать заново.

    Еще один скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      BC_DeleteFile('C:\WINDOWS\tdomgafw.dll');
    BC_Activate;
    RebootWindows(true);
    end.
    Далее логи делать заново.
    Последний раз редактировалось PavelA; 16.01.2009 в 16:32. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    SOUNDMAN.EXE иногда не совсем управлялка звуком . Пофиксил. Логи прикрепил. На флешке все так же продолжает появляться autorun.inf alrqpx.exe
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вот это профиксить:
    O21 - SSODL: tdomgafw - {18E8081A-4A23-495C-98B3-20D3D38F3465} - C:\WINDOWS\tdomgafw.dll (file missing)

    Логи со вставленной флешкой делали?

    Выполнить:
    Код:
    begin
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    пофиксил, скрипт выполнил. Логи и раньше и сейчас делал без флешки (саму флешку, перед подключением, проверяю антивирусами на чистом компе)... Последние логи прикрепил... флешка опять с этими двумя проклятыми файлами.
    Вложения Вложения

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Надо вот с этим бороться:
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

    Пришли avz.exe через его карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    Прошу прощения. не заметил что exe-шник AVZ был сам заражен... . Сейчас стандартные скрипты запустил с чистого (вроде бы). Логи прикладываю. Карантин отправил.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    молчание понимать как то что все уже чисто?

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\WINDOWS\system32\drivers\restore.sys - вот это найти через AVZ , поместить в карантин и прислать на проверку.

    После Ваших проблем тяжело делать выводы о чистоте системы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    и в догонку найдите ещё файл C:\WINDOWS\system32\Drivers\asc3550p.sys

  20. #19
    Junior Member Репутация
    Регистрация
    05.01.2009
    Сообщений
    17
    Вес репутации
    56
    restore.sys не добавляется в карантин "Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\restore.sys), Карантин с использованием прямого чтения-ошибка"

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\WINDOWS\system32\Drivers\asc3550p.sys - проверяли, чистый.

    Раз не добавляется, значит оставим его в покое.

    Можно считать, что лечение закончили.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Ookami15, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 29.07.2011, 05:57
    2. Проверьте логи, есть подозрение на троян.
      От Torvic99 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.02.2009, 14:16
    3. Есть подозрение на троян
      От podoleg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.12.2008, 20:52
    4. Есть подозрение на троян
      От alpach в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.11.2008, 22:57
    5. Есть подозрение на троян
      От movies в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.06.2008, 20:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00006 seconds with 18 queries