Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Trojan.Virtumod с друзьями... (заявка № 38342)

  1. #1
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    Exclamation Trojan.Virtumod с друзьями...

    Проверил CureIT! - нашелся kdcsv.exe, опознанный как Trojan.Virtumod.based.22.

    Обнаружил, что вместо "родных" DNS стоят ip из диапазона 85.255.112.0-85.255.127.255 (Одесса, Укртелеком). Забанил в файрволе. Пофиксил.

    AVZ создал только virusinfo_cure.zip. Остальные логи не созданы. У Symantec EndPoint Protection 11 отвалилась Автоматическая защита файловой системы.

    Одним местом чувствую, что не только Virtumod сидит у меня. Как говориться, Need help.

    Лог HijackThis в комплекте.
    Вложения Вложения
    Последний раз редактировалось an-mag; 27.01.2009 в 20:07.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Пробуйте этот AVZ http://depositfiles.com/files/5k0qihqas

  4. #3
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    К сожалению...

    Цитата Сообщение от Гриша Посмотреть сообщение
    Пробуйте этот AVZ http://depositfiles.com/files/5k0qihqas
    Точно такой же результат.... только virusinfo_cure.zip

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Outpost установлен?

  6. #5
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    Нет...

    Цитата Сообщение от Гриша Посмотреть сообщение
    Outpost установлен?
    Установлен Symantec EndPoint Protection 11.
    (Защита от вирусов и программ-шпионов, Превентивная защита от угроз, Защита от угроз из сети.)
    На время проверки выключал его.

    Может снести SEP и по-новой прогнать?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Попробуйте...

  8. #7
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    А воз и ныне там...

    Цитата Сообщение от Гриша Посмотреть сообщение
    Попробуйте...
    К сожалению, удаление SEP не исправило ситуацию... :-)

    Более того, пытаюсь выполнить Исследование системы - в AVZ выпадает ошибка - Invalid data type for "

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Сделайте полную проверку AVPTool, а заодно и лог в ней попробуйте сделать...

  10. #9
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    Сделал проверку...

    Цитата Сообщение от Гриша Посмотреть сообщение
    Сделайте полную проверку AVPTool, а заодно и лог в ней попробуйте сделать...
    Ну из логов получилось только <AVZ_CollectSysInfo> вытянуть...

    Удалено 36 тел вирусов... Около 15 из них, из карантина SEP и Dr.Web/
    Не зря чуствовал :-)

    Логи: до... и после проверки.
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Вы пробовали создать лог с помощью AVPTool в обычном режиме? То что вы прикрепили нам не нужно...

  12. #11
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    Да...пробовал...

    Цитата Сообщение от Гриша Посмотреть сообщение
    Вы пробовали создать лог с помощью AVPTool в обычном режиме? То что вы прикрепили нам не нужно...
    После проверки AVPTool говорит, что файл создан в LOG\ ... а там -пусто :-(

    Гриша, если Вы не против.... Отложим до четверга... Не хочу вас напрягать... да и у меня уже 23:10... Охрана универа на меня косит лиловым глазом....

    P.S.: Топик не закрывайте... пжлста.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Ок, придумаем что-нибудь

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    var
    AVZLogDir : string;
    begin
    AVZLogDir := GetAVZDirectory + 'exit\';
    CreateDirectory(AVZLogDir);
    // SearchRootkit(true, true);
    CheckSPI;
    SearchKeylogger;
    ExecuteSysChkEV;
    ExecuteSysChkIPU;
    ExecuteWizard('TSW', 1, -1, false);
    SetupAVZ('EvLevel=3');
    SetupAVZ('ExtEvCheck=Y');
    RunScan;
    ExecuteSysCheckEX(AVZLogDir+'readme.txt', $FFFFFFFF, true, 1+2+16+32);
    end.
    readme.txt появился?

  15. #14
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    Нет...

    Не появился файл readme.txt... Вместо папки LOG - папка exit :-(

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    А в ней пусто?

    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

  17. #16
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FD91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 86FD91F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 86A3A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 86A3A500 -> перехватчик не определен



    Это так-то может повлиять?

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Я написал что сделать...

  19. #18
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    Да...

    Цитата Сообщение от Гриша Посмотреть сообщение
    А в ней пусто?

    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
    В папке абсолютно пусто. Лог Gmer'a в комплекте.
    Вложения Вложения
    • Тип файла: log log.log (25.5 Кб, 5 просмотров)

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    563
    загрузите себе эту утилиту:
    http://live.sysinternals.com/autoruns.exe
    Запустите ее, в меню Options поставьте галку на verify Code Signatures и нажмиет F5.
    После того, как утилита соберет все значения кллючей автозагрузки выберите меню File - Export As и сохраните получивший лог у себя на диске. Затем прикрепите к сообщению
    anti-malware.ru

  21. #20
    Junior Member Репутация
    Регистрация
    14.11.2008
    Сообщений
    28
    Вес репутации
    34

    Оки...доки...Босс :-)

    Цитата Сообщение от vaber Посмотреть сообщение
    загрузите себе эту утилиту:
    http://live.sysinternals.com/autoruns.exe
    Запустите ее, в меню Options поставьте галку на verify Code Signatures и нажмиет F5.
    После того, как утилита соберет все значения кллючей автозагрузки выберите меню File - Export As и сохраните получивший лог у себя на диске. Затем прикрепите к сообщению
    Сделал...
    Вложения Вложения

  • Уважаемый(ая) an-mag, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan.Virtumod
      От SweetOpium в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.07.2009, 16:43
    2. Trojan.Virtumod
      От Vovaldo в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 04:08
    3. trojan virtumod
      От aleklepp в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 02:28
    4. Trojan.Virtumod
      От Stalcer в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:44
    5. Ответов: 6
      Последнее сообщение: 17.04.2008, 18:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01124 seconds with 17 queries