Показано с 1 по 11 из 11.

ICQ вирус (заявка № 8449)

  1. #1
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    3
    Вес репутации
    40

    Exclamation ICQ вирус

    Добрый вечер.
    Поискал по сайту - так и не нашел похожего случая. В аську пришло сообщение: "я мечтаю о тебе ...и ссылка с сайта www.radiodeejay.hr (есть варианты с "фотками киски" и.т.д.) и далее нормальный текст.
    Злое стечение обстоятельств - ссылка была от моей девушки Зашел...теперь жду, когда начну сам рассылать такие же сообщения. В интернете тоже мало встречается описание подобного червя, кроме того, что у людей с этой заразой - подобные фразы постятся даже на форумы, непосредственно перед их сообщением.Ну и по аське всем рассылает.
    Такое вот сумбурное описание проблемы Вообщем кто-нибудь сталкивался с такой вещью?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    828

  4. #3
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    3
    Вес репутации
    40

    !

    Да я в курсе насчет правил, думал может кто знает решение именно этой проблемы...не хотел ворошить осиное гнездо Там столько всего понаходилось и поудалялось.
    Прикрепляю логи.
    ---------------------
    C:\WINDOWS\system32\rsvp32_2.bak Trojan-Proxy.Win32.Agent.ly
    c:\windows\system32\rsvp32_2.dll Trojan-Proxy.Win32.Agent.ly
    Эти два файла пришлось восстановить из Infected, так как после их удаления умер интернет.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Чтобы этого агента добить: AVZ - Файл - Выполнить скрипт:
    Код:
    begin
    SetAVZGuardStatus(true);
    DeleteFile('C:\WINDOWS\system32\rsvp32_2.bak');
    DeleteFile('c:\windows\system32\rsvp32_2.dll');
    AutoFixSPI;
    RebootWindows(true);
    end.
    Если интернет опять пропадёт:
    Код:
    begin
    ExecuteRepair(15);
    RebootWindows(true);
    end.
    Логи не смотрел, извините. Давно пора домой...

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Хранит~1.scr','');
     QuarantineFile('C:\WINDOWS\System32\diskmngr.exe','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\nv4_mini.sys','');
     QuarantineFile('C:\WINDOWS\System32\nv4_disp.dll','');
     QuarantineFile('C:\WINDOWS\System32\rsvp32_2.dll','');
     QuarantineFile('C:\WINDOWS\system32\BBPDFPortMon.dll','');
     DeleteFile('C:\WINDOWS\System32\rsvp32_2.dll');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки выполните ещё один скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearHostsFile;
    AutoFixSPI;
    RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".
    Повторите логи virusinfo_syscure.zip и hijackthis.log., а также добавьте файл 'bclr.log' из папки AVZ.

    P.S.: Пока писал скрипты сообщения от pig не было. Я логи смотрел, так что можете выполнять мои скрипты.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Чей скрипт выполняли и выполняли ли вообще?

  8. #7
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    3
    Вес репутации
    40

    !!

    Сначала выполнил скрипт pig. Потом , увидев ваши скрипты выполнил их - предварительно восстановив из карантина файл rsvp32_2.dll (ну чтобы он вошел в карантин вашего скрипта). Файлы выслал.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Со скриптами Вы баловались напрасно.
    Файл удален. С Интернетом проблем нет? Судя по логам все нормально. Думаю что остальные файлы чистые, но лучше проверить
    Осталась ещё пара файлов, которые тоже можно проверить. Выполните ещё такой скрипт
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\BBPDFPortMon.dll','');
     QuarantineFile('C:\ARPR\keylogger.exe','');
    end.
    То, что после выполнения скрипта попадет в каратин пришлите согласно правил.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640
    из присланного -
    C:\WINDOWS\System32\diskmngr.exe
    C:\WINDOWS\System32\rsvp32_2.dll

    Trojan.Spambot'ы (DrWeb)
    Backdoor.Win32.Delf.axi, Trojan-Proxy.Win32.Agent.ly (KAV)

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\diskmngr.exe');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки пришлите файл 'bclr.log' из папки AVZ.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\diskmngr.exe - Backdoor.Win32.Delf.axi (DrWEB: Trojan.Spambot)
      2. c:\\windows\\system32\\rsvp32_2.dll - Trojan-Proxy.Win32.Agent.ly (DrWEB: Trojan.Spambot)


  • Уважаемый(ая) maay, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01153 seconds with 16 queries