Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

И снова трояны: ErrorSafe & WinAntiVirus Pro 2007 (заявка № 9309)

  1. #1
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62

    Thumbs up И снова трояны: ErrorSafe & WinAntiVirus Pro 2007

    Доброго всем времени суток!
    Понадеялся я на свой мозг и прямые руки. И стал самостоятельно лечить проблему выскакивания в IE окон с предложениями скачать/установить указанных выше сабжей. И перепробовал массу средств, ссылки на которые нашел в google. Однако, проблема оказалась зловреднее и если раньше с ней еще можно было сосуществовать, то теперь EI даже боюсь открывать...

    И теперь прошу помощу у уважаемых профессионалов. Помогите!


    С Уважением, Виктор

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sdmxlhnm.dll','');
     QuarantineFile('C:\WINDOWS\system32\vtsst.dll','');
     QuarantineFile('C:\WINDOWS\system32\tnowtpug.dll','');
     QuarantineFile('C:\WINDOWS\system32\qomnnmn.dll','');
     QuarantineFile('C:\WINDOWS\system32\aepglcbu.dll','');
     QuarantineFile('c:\windows\system32\lsass.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe','');
     QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
    RebootWindows(true);
    end.
    Прислать весь карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9309........
    Последний раз редактировалось drongo; 26.04.2007 в 20:30.

  4. #3
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    ок, карантин выслан

    Файл сохранён как 070426_204423_virus_quarantine_4630d6e725866.zip
    Размер файла 417202
    MD5403d7524e716cd37f96a76eef9b33660

    В процессе обработки скрипта в AVZ выскакивали системные сообщения, что, мол, ошибка прямого чтения файла ..... и т.д.
    - подробно зафиксировать не удалось ибо окно со скриптом мешало + комп перезагрузился ..весьма неожиданно для меня.

    В процессе архивирования Norton Antivirus сильно ругался по каждому из файлов, но как и ранее поделать с ними ничего не мог (типа нет доступа)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    не попали все возможно из -за дяди нортона.
    план такой :
    1)отключиться от интернета
    2)отключить полностью постоянную защиту антивируса , лучше вообще его выгрузить из памяти.
    3)запустить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      ClearQuarantine();
      QuarantineFile('C:\WINDOWS\system32\axvrwedb.dll','');
      QuarantineFile('C:\WINDOWS\system32\bdpdrapk.dll','');
      QuarantineFile('C:\WINDOWS\system32\cgoyupxo.dll','');
      QuarantineFile('C:\WINDOWS\system32\juafmprx.dll','');
      QuarantineFile('C:\WINDOWS\system32\nouktxfb.dll','');
      QuarantineFile('C:\WINDOWS\system32\qliqblwk.dll','');
      QuarantineFile('C:\WINDOWS\system32\rhqfhgyo.dll','');
      QuarantineFile('C:\WINDOWS\system32\yosuriop.dll','');
      QuarantineFile('C:\WINDOWS\system32\sdmxlhnm.dll','');
      QuarantineFile('C:\WINDOWS\system32\aepglcbu.dll','');
      QuarantineFile('c:\windows\system32\lsass.exe','');
      QuarantineFile('c:\windows\system32\svchost.exe','');
      QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
      BC_ImportQuarantineList;
      BC_LogFile(GetAVZDirectory + 'boot_copy.log'); 
      BC_Activate; 
    RebootWindows(true);
    end.
    4)Включить назад ваш антивирус , после того как компьютер сам перегрузиться.
    5)послать карантин , как раньше.
    5)приложить boot_copy.log из папки авз сюда.
    Последний раз редактировалось drongo; 26.04.2007 в 21:31.

  6. #5
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Дядя Нортон из памяти отказывается выгружаться, при попытке прекратить процессы ручками - ругается и говорит что операция не может быть завершена по причине отсутствия прав доступа.
    Пришлось просто отключить его работу.

    В процессе работы скрипта в АВЗ снова возникали строки со словом "ошибка". С вашего позволения я залью сюда в т.ч.. и лог этих сообщений программы.

    Карантин выслан.
    Файл сохранён как 070427_113240_virus2_4631a718c677d.zip
    Размер файла 2761947
    MD5 79dcf09965b5f667a50e323872ca7040


    С Уважением, Виктор

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    run_script_AVZ.txt не помогает узнать причину ошибки , поэтому не просил

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В карантине: C:\WINDOWS\system32\axvrwedb.dll - AdWare.Win32.Virtumonde.hb
    C:\WINDOWS\system32\bdpdrapk.dll - AdWare.Win32.Virtumonde.hb
    C:\WINDOWS\system32\cgoyupxo.dll - AdWare.Win32.Virtumonde.hb
    C:\WINDOWS\system32\juafmprx.dll - AdWare.Win32.Virtumonde.hb
    C:\WINDOWS\system32\nouktxfb.dll - AdWare.Win32.Virtumonde.hb
    C:\WINDOWS\system32\qliqblwk.dll - AdWare.Win32.Virtumonde.hb
    C:\WINDOWS\system32\rhqfhgyo.dll - AdWare.Win32.Virtumonde.hb
    C:\WINDOWS\system32\yosuriop.dll - Trojan-Spy.Win32.VBStat.h
    (все - по классификации Касперского)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.отключиться от инета
    2.отключить нортона.
    3.выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\bdpdrapk.dll');
     DeleteFile('C:\WINDOWS\system32\cgoyupxo.dll');
     DeleteFile('C:\WINDOWS\system32\juafmprx.dll');
     DeleteFile('C:\WINDOWS\system32\nouktxfb.dll'); 
     DeleteFile('C:\WINDOWS\system32\rhqfhgyo.dll');
     DeleteFile('C:\WINDOWS\system32\yosuriop.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    4.сделать новые логи
    5.включить нортон, подсоединиться к инету и прикрепить к теме новые логи по правилам+ boot_clr.log

  10. #9
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Скрипт был выполнен,
    затем машина перезагрузилась и в процессе проверки АВЗ выявила новые длл-ки, который троян создал вместо удаленных скриптом (

    логи прилагаю:

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Видимо, главные там трое, которые повторяются во всех логах, а остальные - производные. Выполните этот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\vtsst.dll','');
     QuarantineFile('C:\WINDOWS\system32\tnowtpug.dll','');
     QuarantineFile('C:\WINDOWS\system32\qomnnmn.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.

  12. #11
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Выполнил.

    Карантин отправлен:
    Файл сохранён как 070428_110935_virus_4632f32f03523.zip
    Размер файла 1241572

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    C:\WINDOWS\system32\vtsst.dll - AdWare.Win32.Virtumonde.fp
    C:\WINDOWS\system32\tnowtpug.dll - AdWare.Win32.Virtumonde.hb
    C:\WINDOWS\system32\qomnnmn.dll - AdWare.Win32.Virtumonde.ig
    (все - по классификации Касперского)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\vtsst.dll');
     DeleteFile('C:\WINDOWS\system32\tnowtpug.dll');
     DeleteFile('C:\WINDOWS\system32\qomnnmn.dll');
    ExecuteSysClean;
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, сделайте, пожалуйста, новые логи.

  14. #13
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Скрипт выполнил, все прошло без эксессов, даные файлы были озвучены как обязательные к удалению (но только после перезагрузки) и тот час же в реестре была успешно блокирована попытка файлам себя восстановить при перезагрузке.

    После перезагрузки, в процессе выполнения первого скрипта (который лечение... и т.д..) были обнаружены новые три файла с подозрением на тот же троян. Файлы были помещены в карантин.

    Логи прилагаю.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Прошу прощения, допустил досадную ошибку в последнем скрипте. Давайте попробуем так:отключитесь от сети и отключите Norton antivirus. В программе hijackthis пофиксите строчки:
    Код:
    O2 - BHO: (no name) - {31542FC5-6059-48AC-A87B-A18F94FBAD80} - C:\WINDOWS\system32\vtsst.dll (file missing)
    O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\tducktyr.dll (file missing)
    O2 - BHO: (no name) - {B6ADCC33-0B9B-48E3-A110-F8BBF5A04456} - C:\WINDOWS\system32\qomnnmn.dll (file missing)
    O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\fwqiqrok.dll
    O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\tupgxwqp.dll",realset
    O20 - Winlogon Notify: qomnnmn - qomnnmn.dll (file missing)
    O20 - Winlogon Notify: vtsst - C:\WINDOWS\
    Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\fwqiqrok.dll');
     DeleteFile('C:\WINDOWS\system32\qliqblwk.dll');
     DeleteFile('C:\WINDOWS\system32\gfklflhc.dll');
     DeleteFile('C:\WINDOWS\system32\bsfpxqrd.dll');
     DeleteFile('C:\WINDOWS\system32\axvrwedb.dll');
     DeleteFile('C:\WINDOWS\system32\tupgxwqp.dll');
     DeleteFile('qomnnmn.dll');
    BC_ImportDeletedList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(false);
    end.
    Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п.10 правил

  16. #15
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Все пофиксено, скрипт выполнен.
    логи прилагаю

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах все чисто.

  18. #17
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Грац,
    большое спасибо!

    а можно небольшую просьбу?
    Я там в логе hijackthis обнаружил, что наряду с нужными вещами у меня грузится куча всякой хрени... Можно ли получить от Вас рекомендацию - что именно, на Ваш взгляд, имеет смысл пофиксить...?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Umka Посмотреть сообщение
    Я там в логе hijackthis обнаружил, что наряду с нужными вещами у меня грузится куча всякой хрени...
    Например? В автозапуске О4 - только 3 позиции, 2 от Нортона+1 системный файл. Можете ещё проверить службы - может быть какие-то Вам действительно не нужны.

  20. #19
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    31
    Вес репутации
    62
    Ок, большое спасибо за интересную ссылочку)
    Большое спасибо за оперативную помощь,
    Огромное спасибо за Ваш форум!

  21. #20

  • Уважаемый(ая) Umka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. winantivirus Pro 2007 - что делать
      От Martyn в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 22.02.2009, 02:15
    2. и снова преславутые errorsafe и winantivirus...
      От konovalsky в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:08
    3. достал WinAntivirus и ErrorSafe (+)
      От mpD в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:01
    4. Помогите, вешаюсь от errorsafe и winantivirus:(((
      От evshi в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:52
    5. Постоянно мешаются ErrorSafe и WinAntiVirus
      От Thelost в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01642 seconds with 19 queries