Показано с 1 по 18 из 18.

Вирус похоже пытается своровать пароли с компа (заявка № 83069)

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32

    Arrow Вирус похоже пытается своровать пароли с компа

    Добрый день.
    Антивирусная программа (Нортон антивирус) выдала окошко, о вирусе чего то типа PasswordRevealer.
    Посмотрел где файл лежит, на который ругается - в темпе, очистил всю папку, стал следить, файл появляется снова, в свойствах файла есть инфа о нем (прикрепил текстовый файл с инфой по нему 1.txt), при попытке подключить интернет создается еще один файл (первый судя по всему пытается украсть пароли с почты, второй - пароли доступа в инет). Программ для востановления паролей не устанавливал. (деинсталировать нечего, да и работают проги сами без моего участия)
    Логи прикрепляю, посмотрите что можно поделать с этим безобразием.
    Заранее спасибо.
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\h6QRrkw.exe,
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Моя Интерсвязь\isvyaz.exe','');
     QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
     DeleteFile('C:\WINDOWS\system32\qtplugin.exe');                         
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32
    Сделано
    Файл сохранён как 100714_135704_quarantine_4c3d89f0e2ef1.zip
    Размер файла 2229834
    MD5 1060a2ab5f05f0dd5fd4da412e1d8167

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    В карантине был - C:\WINDOWS\system32\qtplugin.exe - HEUR:Backdoor.Win32.Generic

    Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32
    логи
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Сделайте лог Гмер, мне один драйвер не нравится.

  8. #7
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32
    ех, не выходит.
    один раз комп просто завис через час сканирования.
    второй раз синий экран и перезагрузка.
    может какие нить галочки снять с гмера?
    кстати а какой драйвер? не тот что за клавиатуру отвечает?

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    C:\WINDOWS\system32\drivers\vdg4njgz.sys - вот этот.

  10. #9
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32
    удалить может его? за что он отвечает?
    может какие нить галочки снять с гмера чтоб лог сделал

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan.
    Из инструкции, ссылку на которую я давал. Вы так делали?

  12. #11
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32
    так и стоит, я про другие галочки которые выше выбора раздела

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Попробуем тогда такой лог - http://virusinfo.info/showthread.php?t=78057

  14. #13
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32
    в каком режиме?

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    В режиме extended, потом выключите режим расширенного мониторинга через пункт меню ArKit Driver -> UnInstall Extended Driver.

  16. #15
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32
    пока не получилось полностью сделать все логи, на разделе autorun зависает на файле C:\WINDOWS\inf\Custom.inf
    убрал справа галочку Autorun, сделал лог без него, прикрепляю, посмотрите, пока попытаюсь сделать только Autorun лог

    второй лог про Autorun прошел
    Последний раз редактировалось Fox-RK; 26.01.2011 в 10:24.

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Ничего криминального не вижу, остались жалобы? Скачайте и проведите полную проверку утилитой CureIt!

  18. #17
    Junior Member Репутация
    Регистрация
    23.07.2009
    Сообщений
    47
    Вес репутации
    32
    файлы подозрительные больше не появляются
    правда пропал значек антивируса с трея (будем искать)

    Спасибо.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\qtplugin.exe - not-a-virus:PSWTool.Win32.PassView.gd ( DrWEB: Trojan.PWS.Mailer.4, BitDefender: Gen:Trojan.Heur.TP.5qW@bK48ZJoi, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Fox-RK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. провайдер пытается подсадить вирус?
      От KOLANICH в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 02.04.2011, 00:26
    2. Svchost пытается скачать вирус
      От bob2005 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.07.2009, 13:43
    3. Ответов: 7
      Последнее сообщение: 18.04.2009, 09:35
    4. Ответов: 16
      Последнее сообщение: 22.02.2009, 06:33
    5. Ответов: 10
      Последнее сообщение: 05.10.2007, 14:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00507 seconds with 16 queries