Показано с 1 по 11 из 11.

WORM.SCANO.N (заявка № 6801)

  1. #1
    Junior Member Репутация
    Регистрация
    16.11.2006
    Адрес
    Москва
    Сообщений
    15
    Вес репутации
    44

    WORM.SCANO.N

    Словил этот самый вирус. Он взял пароль для моей ICQ и рассылает людям из моего контакт-листа тупые письма, посмотреть фотки, скачать прогу и т.п. Парочка уже повелась, молодцы. Вот поэтому всегда спрашиваю прежде чем сломя голову лететь по ссылке. Как словил пока не знаю. Антивирус у меня Trend Micro PC-Cillin Internet Security 14. Удалил все кроме... угадайте какого?... подставного csrss.exe в папке C:\WINDOWS. Отрубил восстановление и на всякий случай удалил через реестр файл Debugger отсюдова HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
    Вобщем не могу удалить этот самый csrss.exe из папки C:\WINDOWS
    При попытке удаления запрашивает диск с MS WINDOWS XP. Потом всеравно появляется заново.
    Система XP PRO SP2


    Прошу прощения. С помощью Ad-Aware нашел еще

    Win32.Trojandownloader.Zlob(TAC index:10)

    Сейчас постараюсь выполнить правила.
    Последний раз редактировалось muggsy; 16.11.2006 в 22:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    138
    выполните правила этого раздела

  4. #3
    Junior Member Репутация
    Регистрация
    16.11.2006
    Адрес
    Москва
    Сообщений
    15
    Вес репутации
    44
    Вот логи.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3391
    Цитата Сообщение от muggsy
    Вот логи.
    1. Пришлите согласно правилам:
    c:\windows\system32\drivers\cdantsrv.exe
    C:\Documents and Settings\All Users\Documents\Settings\arm32.dll
    ptipbmf.dll
    C:\WINDOWS\system32\STARTE~1.DLL
    C:\WINDOWS\csrss.exe
    2. Теоретически AVZ должен был удалить arm32.dll (файл удалится после перезагрузки)
    3. В протоколе видно, что AVZ не смог загрузить свой драйвер. Выдавал ли установленный антивирус какие-либо запросы на этот счет в процессе сканирования системы AVZ ?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    138
    пофиксите в HijackThis следующие строки:
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O9 - Extra button: (no name) - DctMapping - (no file)
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab
    O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edg...ex-2.0.6.0.cab
    O16 - DPF: {8E82893F-7ED1-4811-A247-580DCC0E2629} (SFLauncherTDE Class) - http://www.sf.in.th/activex/StarterSFTDE.cab
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)

    выполните в AVZ скрипт:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\nvshell.dll','');
     QuarantineFile('C:\Documents and Settings\Aleksandr\My Documents\CrackDown\CrackDown Store\[Flash Professional 8] Cracks\Flash Professional v8.0\run.exe','');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
     DeleteFile('C:\Documents and Settings\Aleksandr\My Documents\CrackDown\CrackDown Store\[Flash Professional 8] Cracks\Flash Professional v8.0\run.exe');
    end.
    после выполнения скрипта пришлите файлы из карантина

  7. #6
    Junior Member Репутация
    Регистрация
    16.11.2006
    Адрес
    Москва
    Сообщений
    15
    Вес репутации
    44
    Цитата Сообщение от Зайцев Олег
    1. Пришлите согласно правилам:
    c:\windows\system32\drivers\cdantsrv.exe
    C:\Documents and Settings\All Users\Documents\Settings\arm32.dll
    ptipbmf.dll
    C:\WINDOWS\system32\STARTE~1.DLL
    C:\WINDOWS\csrss.exe
    2. Теоретически AVZ должен был удалить arm32.dll (файл удалится после перезагрузки)
    3. В протоколе видно, что AVZ не смог загрузить свой драйвер. Выдавал ли установленный антивирус какие-либо запросы на этот счет в процессе сканирования системы AVZ ?
    arm32.dll ptipbmf.dll STARTE~1.DLL не нашел даже через поиск AVZ

    В процессе проверки антивирус ничего не выдавал.


    Цитата Сообщение от MOCT
    пофиксите в HijackThis следующие строки:
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O9 - Extra button: (no name) - DctMapping - (no file)
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab
    O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edg...ex-2.0.6.0.cab
    O16 - DPF: {8E82893F-7ED1-4811-A247-580DCC0E2629} (SFLauncherTDE Class) - http://www.sf.in.th/activex/StarterSFTDE.cab
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)

    выполните в AVZ скрипт:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\nvshell.dll','');
     QuarantineFile('C:\Documents and Settings\Aleksandr\My Documents\CrackDown\CrackDown Store\[Flash Professional 8] Cracks\Flash Professional v8.0\run.exe','');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
     DeleteFile('C:\Documents and Settings\Aleksandr\My Documents\CrackDown\CrackDown Store\[Flash Professional 8] Cracks\Flash Professional v8.0\run.exe');
    end.
    после выполнения скрипта пришлите файлы из карантина
    Сделано.


    Один файлик из карантина не поместился, скачать можно отсюда http://www.muggsy.nm.ru/avz00001.zip
    Вложения Вложения
    Последний раз редактировалось Shu_b; 17.11.2006 в 15:26.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    138
    Цитата Сообщение от muggsy
    Один файлик из карантина не поместился, скачать можно отсюда http://www.muggsy.nm.ru/avz00001.dta
    на будущее - все запрошенные файлы (кроме логов) нужно присылать через специальную форму на сайте. в правилах раздела "Помогите!" про это все написано.

  9. #8
    Junior Member Репутация
    Регистрация
    16.11.2006
    Адрес
    Москва
    Сообщений
    15
    Вес репутации
    44
    Цитата Сообщение от MOCT
    на будущее - все запрошенные файлы (кроме логов) нужно присылать через специальную форму на сайте. в правилах раздела "Помогите!" про это все написано.
    Виноват. Просто не хотел удалять первые логи. А лимит был превышен.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Прочитайте Приложение 2 к правилам.

  11. #10
    Junior Member Репутация
    Регистрация
    16.11.2006
    Адрес
    Москва
    Сообщений
    15
    Вес репутации
    44
    Цитата Сообщение от pig
    Прочитайте Приложение 2 к правилам.


    Прочитал правила и сделал все так, как там написано. Удалось найти только два файла ptipbmf.dll и cdantsrv.exe
    Добавил их как написано в правилах. csrss.exe я удалил с помощью антивируса. Сейчас проверял больше никаких вирусов не находит.
    Последний раз редактировалось Shu_b; 17.11.2006 в 23:23.

  12. #11
    Visiting Helper Репутация
    Регистрация
    27.01.2006
    Сообщений
    55
    Вес репутации
    47
    в архиве этих файлов нет

  • Уважаемый(ая) muggsy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. email-worm.scano.ao ....!!!??!!!!!!!!
      От Esfir' в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:37
    2. помогите Email-Worm.Win32.Scano.bk
      От Ирина в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.11.2006, 17:24
    3. Вирус Email-Worm.Win32.Scano.as
      От KYCTOB в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 19.11.2006, 20:39
    4. Email-worm.win32.scano.aq
      От масяня в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.09.2006, 10:21
    5. Email-Worm.Win32.Scano.h
      От Predat в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.04.2006, 22:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01060 seconds with 17 queries