Показано с 1 по 12 из 12.

Поймал вирус похожий на Trojan.Mezzia, но не могу избавится (заявка № 8844)

  1. #1
    Junior Member Репутация
    Регистрация
    05.04.2007
    Сообщений
    5
    Вес репутации
    63

    Thumbs up Поймал вирус похожий на Trojan.Mezzia, но не могу избавится

    Поймал на своей машине вирус похожий по описанию на Trojan.Mezzia ( в форуме было подобное http://viruslist.virusinfo.info/showthread.php?t=7466)

    В папке C:\Windows\Temp создаются файлы например (win76F5.tmp.exe) и пытаются выполниться, но Windows говорит, что пытается выполниться неправильная команда и не выполняет этот файл.
    Все это делается через определенное время, гдето раз в 30 минут.

    Если открыть файл через блокнот, то в нем содержится html код:
    с ссылкой на http://l.mezzicodec.net/a412/a571.php?m=0&b=3020&c=2

    Файлов, которые указаны в вышеприведенной ветке форума у меня нет.
    AVZ, CureIt, Nod32, Avast вирусов не находят.

    Помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Programs\Craagle\Craagle.exe','');
     QuarantineFile('winhoo32.dll','');
     QuarantineFile('C:\WINDOWS\system32\winmmt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\wineij32.dll','');
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке, как написано в прил.3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    05.04.2007
    Сообщений
    5
    Вес репутации
    63
    Спасибо за оперативность файл выслал

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    winmmt32.dll и wineij32.dll троянская программа Trojan.Win32.Agent.qt
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\winmmt32.dll');
     DeleteFile('C:\WINDOWS\system32\wineij32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: winhoo32 - winhoo32.dll (file missing)
    Сделайте новые логи п.10 и 12 правил.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    C:\WINDOWS\system32\winmmt32.dll - Trojan.Win32.Agent.qt
    C:\WINDOWS\system32\wineij32.dll - Trojan.Win32.Agent.qt
    (по классификации Касперского). В программе Hijackthis пофиксите следующие строки:
    Код:
    O20 - Winlogon Notify: wineij32 - C:\WINDOWS\SYSTEM32\wineij32.dll
    O20 - Winlogon Notify: winhoo32 - winhoo32.dll (file missing)
    O20 - Winlogon Notify: winmmt32 - C:\WINDOWS\SYSTEM32\winmmt32.dll
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\wineij32.dll');
     DeleteFile('C:\WINDOWS\system32\winmmt32.dll');
    ExecuteSysClean;
    AutoFixSPI;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п. 10 правил В дополнение, файл C:\Programs\Craagle\Craagle.exe вроде бы был скопирован в карантин, но в архив не попал. Попробуйте его поискать и прислать в архиве через форму для отправки карантина.

  7. #6
    Junior Member Репутация
    Регистрация
    05.04.2007
    Сообщений
    5
    Вес репутации
    63
    Огромное спасибо вам

    Высылаю логи

    Также сейчас закачаю файл Craagle
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    05.04.2007
    Сообщений
    5
    Вес репутации
    63
    К сожалению файл Craagle не удается заархивировать через карантин, т.к. он в архив почемуто не попадает. Но я думаю в нем вирусов нет. Я его проверял антивирусами.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В программе Hijackthis пофиксите строчку
    Код:
    O20 - Winlogon Notify: wineij32 - C:\WINDOWS\
    Файлы в папке temp больше не появляются?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Но я думаю в нем вирусов нет.
    А как вам это:
    C:\Programs\Craagle\Craagle.exe >>>>> RiskWare.Win32.Craagle.19
    Если не уверены на 100%, что эта программа вам необходима и действительно безопасна, лучше удалите.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    И еще вот эта штука ускользнула от внимания:
    O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
    Скорее всего file там действительно missing, но все таки давайте попробуем так:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchosts.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Если что попадет в карантин - пришлите.
    А строчку вышеприведенную пофиксите.
    Потом повторите еще раз логи п.10 и 12.

  12. #11
    Junior Member Репутация
    Регистрация
    05.04.2007
    Сообщений
    5
    Вес репутации
    63
    023 пофиксил.

    В папке Temp больше ничего подозрительного не создается.

    В карантин файл svchost почему то не попал.

    Еще раз Большое Спасибо.
    Вложения Вложения

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\wineij32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)
      2. c:\\windows\\system32\\winmmt32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)


  • Уважаемый(ая) Vadim_S, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус,похожий на Trojan.Win32.Ddox.ci!помогите!
      От Асяша в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 04.08.2011, 08:15
    2. поймал вирус не могу избавиться
      От Heo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.05.2011, 22:37
    3. Вирус, не могу избавится
      От Dje в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.07.2009, 05:30
    4. поймал вирус - не могу удалить.
      От corsar_ufo в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:29
    5. HELP!!! Dialer.Mella & Trojan.Mezzia
      От Ant0ny в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00805 seconds with 18 queries