Показано с 1 по 14 из 14.

SMS Download + ещё что-то (заявка № 65756)

  1. #1
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    77
    Вес репутации
    36

    Thumbs up SMS Download + ещё что-то

    День добрый.

    Просмотрите плииз...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    1. Скачайте утилиту во вложении и запустите (в Vista (Windows 7) запускать от имени Администратора по правой кнопке мыши). Компьютер перезагрузится

    2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению

    3. Пофиксите в Hijack
    Код:
    F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
    4. Сделайте новые логи
    Последний раз редактировалось thyrex; 04.04.2010 в 21:42.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    77
    Вес репутации
    36
    Готово.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Необходимо загрузиться с любого загрузочного CD, позволяющего выполнять операции с файлами на жестком диске, и выполнить следующие действия:
    1. Файл C:\Windows\System32\Drivers\hidusb.sys переименовать например в baddrv.sys.
    2. Файл drv.sys, который вы прикрепляли выше, скопировать в папку C:\Windows\System32\Drivers и переименовать в hidusb.sys.

    Далее, перезагружайтесь в свою систему и
    1. Запакуйте файл baddrv.sys в архив с паролем virus и пришлите по красной ссылке для карантина (вверху темы).
    2. Сделайте лог syscheck (п.2 раздела Диагностика правил).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    77
    Вес репутации
    36
    плииз, подскажите посоветуйте - какой и где Live CD лучше взять. ???

  7. #6
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    77
    Вес репутации
    36
    сделал.
    baddrv - прикрепил
    syscheck - сделал - прикрепил

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Почему не пофиксили строку в HiJack? Выполните
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    77
    Вес репутации
    36

    странно фикслал, всё делал поэтапно как и говорили,
    может, что-пропустил - сейчас пару ми и повторю

  10. #9
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    77
    Вес репутации
    36
    Логи сначала....

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
    Как это правильно делать, читайте тут:
    http://virusinfo.info/showthread.php?t=4491.

    Больше ничего плохого в логах нет.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    77
    Вес репутации
    36
    Спасибо

  13. #12
    Junior Member Репутация
    Регистрация
    30.04.2008
    Сообщений
    77
    Вес репутации
    36
    Сорри, уточнение,....

    а в логах такой текст и должен быть - что-то неспокойно (пару цитат):
    ===========
    .....
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->760224B5->75B5193A
    Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022655->763672D8
    Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->7602268C->7636733F
    Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->760226C3->76367C40
    Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->760226FA->76365F8A
    Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022732->76365E7D
    Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022766->763671C5
    Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022799->76366B9D
    .....

    +++++++++++++

    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Функция netapi32.dllavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B10->6E7B29DD
    Функция netapi32.dllavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B29->6E7B181B
    Функция netapi32.dllavFlushFile (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B45->6E7B1713
    Функция netapi32.dllavGetExtendedError (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B5A->6E7B2347
    Функция netapi32.dllavGetHTTPFromUNCPath (5) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B76->6E7B275B
    Функция netapi32.dllavGetUNCFromHTTPPath (6) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B94->6E7B257D
    Функция netapi32.dllsAddressToSiteNamesA (7) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BB2->75334A4D
    Функция netapi32.dllsAddressToSiteNamesExA ( перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BD1->75334D79
    Функция netapi32.dllsAddressToSiteNamesExW (9) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BF2->75335049
    Функция netapi32.dllsAddressToSiteNamesW (10) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C13->75334C29
    Функция netapi32.dllsDeregisterDnsHostRecordsA (11) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C32->75336DD9
    Функция netapi32.dllsDeregisterDnsHostRecordsW (12) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C57->75336D59
    Функция netapi32.dllsEnumerateDomainTrustsA (13) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C7C->75336771
    .....

    ++++
    Функция NtAdjustPrivilegesToken (0C) перехвачена (82C5E875->8703EBD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys,.....

    ++++
    1.4 Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=432, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 432)
    Маскировка процесса с PID=448, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 44
    Маскировка процесса с PID=504, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 504)
    Маскировка процесса с PID=564, имя = ""
    .......

    +++++
    7. Эвристичеcкая проверка системы
    >>> C:\Windows\wt\webdriver\webdriver.dll ЭПС: подозрение на Spy.WindTangent
    ......

    и т.д.

    ================================================== ================
    что не даёт покоя
    - система ну очень долго стартует
    - в логах AVZ - чересчур много красных строк - если делать стандартные скрипты но скан. проходит до конца
    - если делаю просто сканирование системы в AVZ - строки которые красные (перехавтчики... + ... ) AVZ пишет что вроде как нейтрализует
    =========== к примеру
    Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->760224B5->75B5193A
    Перехватчик advapi32.dll:AddMandatoryAce (1029) нейтрализован
    ........... и.т.д. по всем.
    ==================, но проверка до конца не проходит, выкидывает какую-то ошибку - и останавливается почти в конце сканирования, и дальше AVZ повисет... (((

    P/S.
    собственно логи те же что и выше - только строку F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userin it.exe, - КИКНУЛ.....

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Andy_skif Посмотреть сообщение
    Функция NtAdjustPrivilegesToken (0C) перехвачена (82C5E875->8703EBD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys
    Касперский.
    Цитата Сообщение от Andy_skif Посмотреть сообщение
    >> обнаружена подмена PID (текущий PID=0, реальный = 504)
    Маскировка процесса с PID=564, имя = ""
    Для "семёрки" в порядке вещей.
    Цитата Сообщение от Andy_skif Посмотреть сообщение
    >>> C:\Windows\wt\webdriver\webdriver.dll ЭПС: подозрение на Spy.WindTangent
    А вот это она правильно ругается. Я бы убил всю папку wt.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \baddrv.sys - Rootkit.Win32.ZAccess.cg ( DrWEB: Trojan.Winlock.569 )


  • Уважаемый(ая) Andy_skif, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Sms Download Master
      От Alex_freelancer в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.01.2010, 15:04
    2. download master
      От corpse в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.12.2009, 23:31
    3. Download Master
      От Frostling в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.12.2009, 14:53
    4. download master
      От Микро в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.12.2009, 00:28

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00913 seconds with 16 queries