Показано с 1 по 12 из 12.

Trojan.Iframe(забавы с services) (заявка № 40646)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57

    Thumbs up Trojan.Iframe(забавы с services)

    Zдравствуйте!Каким-то образом словил со своего же сайта эту дрянь.Антивир сайта молчал.Был в скрипте в Index.html . Dr.web удалил успешно инфицированный архив.Но теперь забавляет процесс services - никак не вылазит из автозагрузки,иногда пытается подсосать с нета нечто и долбит флопик. Высылаю логи и карантин.
    Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteService('ethsayfw');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethsayfw.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\ehfspdcu.sys','');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\ehfspdcu.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ethsayfw.sys');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\digeste.dll');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     ExecuteRepair(9);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Логи:
    Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    userinit.exe-Trojan-Dropper.Win32.Agent.ahnl его нужно заменить на чистый из дистрибутива...

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{02478D38-C3F9-4EFB-9B51-7695ECA05670}');
     DeleteService('mpwjtrqaurnwumr');
     DeleteFile('C:\WINDOWS\system32\drivers\ehfspdcu.sys');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('digeste.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('mpwjtrqaurnwumr');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Логи:
    Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
    O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} - 
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} -
    Повторите пункт 2 диагностики...

  8. #7
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Новый лог:
    Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Spybot - деинсталировать...
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Карантин выслал.Вот логи:
    Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего плохого ...

  12. #11
    Junior Member Репутация
    Регистрация
    21.09.2008
    Сообщений
    84
    Вес репутации
    57
    Всем очередной раZ огромное СПАСИБО! = )

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.faw (DrWEB: Trojan.Packed.393)
      2. c:\windows\system32\digeste.dll - Trojan.Win32.Agent.bspx (DrWEB: Trojan.Inject.5512)
      3. c:\windows\system32\drivers\ehfspdcu.sys - Rootkit.Win32.Pakes.mm
      4. c:\windows\system32\drivers\ethsayfw.sys - Backdoor.Win32.IEbooot.ro
      5. c:\windows\system32\twext.exe - Trojan-Spy.Win32.Zbot.nkc (DrWEB: Trojan.PWS.Panda.30)
      6. c:\windows\system32\userinit.exe - Trojan-Dropper.Win32.Agent.ahnl (DrWEB: Trojan.DownLoad.26770)

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) ZAP!, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Прошу помощи с Trojan-Clicker.JS.Iframe.gd
      От wizard_vrn в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.05.2011, 14:30
    2. Trojan-Clicker.HTML.IFrame.sl
      От Kraft в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 06:21
    3. найдена Trojan-Clicker.HTML.IFrame.bj
      От KOPERATOR в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:35
    4. KIS7 кричит: Trojan-Clicker.HTML.IFrame.yo
      От MyFirstDay в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.11.2008, 21:00
    5. На сайте вирус Trojan-Clicker.HTML.IFrame.cu
      От Sokil в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.03.2008, 03:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00908 seconds with 19 queries