Показано с 1 по 20 из 20.

W32/Stration.gen@MM (заявка № 6930)

  1. #1
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43

    Thumbs up W32/Stration.gen@MM

    Какая то новая модификация - пришол по аське(QIP) в виде сообщения следующего вида:

    My picture:
    hххp://ххх.ххх.ххх/2/238/picture.pif

    My picture:
    hххp://ххх.ххх.ххх/2/238/picture.pif

    Check up this:
    hххp://ххх.ххх.ххх/1/8592/

    Check up this:
    hххp://ххх.ххх.ххх/1/8592/

    Это ссылка на файл с расширением .pif - я его скачал и запустил (вот я балбес ).

    Шо мне делать? антивирусник(McAfee VirusScan) его видит, но сделать ничего не может. Регулярно, с частотой примерно в 30 минут вылетает сообщение тревоги. Инструкции не помагают - перезагружаюсь в защищенном режиме - проверяю - ничего нет.

    Плиз хэлп!
    Последний раз редактировалось anton_dr; 28.11.2006 в 08:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2271
    Выполнить правила

  4. #3
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Цитата Сообщение от anton_dr
    Выполнить правила
    Вот
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Вот как это выглядит...
    Изображения Изображения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1294
    Выполните в AVZ следующий скрипт:
    Код:
    begin
      QuarantineFile('C:\Program Files\teleauth.exe','');
      QuarantineFile('c:\windows\system32\wmspmsv1.exe','');
      QuarantineFile('C:\WINDOWS\system32\wmspmsv1.dll','');
      QuarantineFile('C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL','');
      QuarantineFile('C:\PROGRA~1\MICROS~2\Office12\GrooveUtil.DLL','');
      QuarantineFile('C:\PROGRA~1\MICROS~2\Office12\GrooveNew.DLL','');
      QuarantineFile('C:\WINDOWS\system32\e1.dll','');
    end.
    Сформированный карантин пришлите в соответствии с Приложением 2.

  7. #6
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Цитата Сообщение от pig
    Выполните в AVZ следующий скрипт:

    Сформированный карантин пришлите в соответствии с Приложением 2.
    Отправил... только архив вроде без пароля, хотя хз.. но я никаких паролей не ставил, разве что она по дифолту поставился.

    вот че написали

    Файл сохранён как 061128_032818_virus_456bf32218fc4.zip
    Размер файла 1040098
    MD5 bacb0b227a1609e54c235e7a15e47941
    Последний раз редактировалось anton_dr; 28.11.2006 в 12:33.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1365
    1. Выполните скрипт:
    begin
    if SetAVZGuardStatus(True) then
    DeleteFile('C:\WINDOWS\system32\e1.dll');
    ExecuteSysClean;
    end.

  9. #8
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Цитата Сообщение от Alex_Goodwin
    1. Выполните скрипт:
    Выполнил Пока ничего не появлялось Значит чтобы излечиться - нужно удалить всего лишь один файл C:\WINDOWS\system32\e1.dll?

  10. #9
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Опять тоже самое после перезагрузки

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1294
    Судя по скриншоту, зверь вот:
    c:\windows\system32\wmspmsv1.exe
    C:\WINDOWS\system32\wmspmsv1.dll

    Просто хочется услышать от аналитиков подтверждение, прежде чем рубить головы. И неясно, что за teleauth.exe такой...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    Цитата Сообщение от pig
    Просто хочется услышать от аналитиков подтверждение, прежде чем рубить головы. И неясно, что за teleauth.exe такой...
    А эти файлы и небыли присланы...

    2 Nickk Попробуйте включить противодействие руткитам и повторно попробовать добавить в карантин

    c:\windows\system32\wmspmsv1.exe
    C:\WINDOWS\system32\wmspmsv1.dll
    C:\Program Files\teleauth.exe
    C:\WINDOWS\Integrator.exe

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1365
    Цитата Сообщение от Nickk
    Выполнил Пока ничего не появлялось Значит чтобы излечиться - нужно удалить всего лишь один файл C:\WINDOWS\system32\e1.dll?
    нет. Просто 100 % на тот момент из прсланых детектился только этот файл.

  14. #13
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Цитата Сообщение от pig
    Судя по скриншоту, зверь вот:
    c:\windows\system32\wmspmsv1.exe
    C:\WINDOWS\system32\wmspmsv1.dll

    Просто хочется услышать от аналитиков подтверждение, прежде чем рубить головы. И неясно, что за teleauth.exe такой...
    teleauth.exe - это точно не вирус - это авторизатор. wmspmsv1.exe самостоятельно пытался удалять но он появляется снова после перезагрузки. wmspmsv1.dll - не удаляется - нет доступа.

  15. #14
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Цитата Сообщение от Shu_b
    А эти файлы и небыли присланы...

    2 Nickk Попробуйте включить противодействие руткитам и повторно попробовать добавить в карантин

    c:\windows\system32\wmspmsv1.exe
    C:\WINDOWS\system32\wmspmsv1.dll
    C:\Program Files\teleauth.exe
    C:\WINDOWS\Integrator.exe
    Добавление в каратин ни к чему не приводит - вирус один фик выскакивает.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    Цитата Сообщение от Nickk
    Добавление в каратин ни к чему не приводит - вирус один фик выскакивает.
    Так файлы добавились в карантин? Если да, их надо прислать согласно правил. Мы не можем без анализа давать рекомендации по удалению.

  17. #16
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Цитата Сообщение от Shu_b
    Так файлы добавились в карантин? Если да, их надо прислать согласно правил. Мы не можем без анализа давать рекомендации по удалению.
    Файл сохранён как 061129_000723_virus_456d158b12494.zip
    Размер файла 267579
    MD5 1d2d54777f745e4e8aaaaa0b648720c4

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    Да, это limar aka Warezov aka Stration
    Выполните скрипт:
    Код:
    begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      DeleteFile('c:\windows\system32\wmspmsv1.exe');
      DeleteFile('C:\WINDOWS\system32\wmspmsv1.dll');
      DeleteFile('C:\WINDOWS\system32\e1.dll');
      ExecuteSysClean;
      RebootWindows(True);
    end.
    После выполнения новые логи с 10 пункта правил.

  19. #18
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Цитата Сообщение от Shu_b
    Да, это limar aka Warezov aka Stration
    Выполните скрипт:

    После выполнения новые логи с 10 пункта правил.

    Воть
    Вложения Вложения
    Последний раз редактировалось anton_dr; 29.11.2006 в 11:19.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    пофиксить (http://virusinfo.info/showthread.php?t=4491)
    Код:
    O20 - Winlogon Notify: wmspmsv1 - C:\WINDOWS\

  21. #20
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    11
    Вес репутации
    43
    Пофиксил Вируса нет! УРААА!!! Респект
    Всем огромнейшее спасибо за помощь и участие в теме
    Последний раз редактировалось anton_dr; 01.12.2006 в 08:00.

  • Уважаемый(ая) Nickk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Заражение вирусом w32.stration.DB@mm и w32.stration.cX@mm
      От Станислав в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:37
    2. w32.stration
      От bazav в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.06.2007, 10:22
    3. W32.Stration.DB@mm
      От Iva в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 17.11.2006, 14:28
    4. W32.Stration@mm
      От Ksjun4ik в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.10.2006, 21:58
    5. W32.Stration@mm
      От dzen в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.10.2006, 01:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00158 seconds with 17 queries