Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Trojan.PWS & Trojan.Proxy & Trojan.DownLoader + маленькая тележка (заявка № 9800)

  1. #1
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    63

    Exclamation Trojan.PWS & Trojan.Proxy & Trojan.DownLoader + маленькая тележка

    Кратко:
    Avast!:
    • Win32:Goldun-IB[Trj]
    • Win32:Banker-PGS[Trj]
    • Win32.Agent-FTK [Wrm]
    DrWeb - CureIT!:
    • Trojan.PWS.LDPinch.1607
    • Trojan.PWS.LDPinch.1744
    • Trojan.PWS.LDPinch.1757
    • Trojan.PWS.LDPinch.1798
    • Trojan.Proxy.1800
    • Trojan.DownLoader.22375
    При чём два последние неубиваемые.
    Замечание
    Сразу прошу прощения за некоторый сумбур и за то, что прикрепил файлов вдвое больше, чем было рекомендовано в правилах. Но это не потому, что я не читал. Я их полностью читал! { moderated}
    Послесловие
    Большое спасибо, если поможете мне.
    Последний раз редактировалось Dihlophos; 28.05.2007 в 21:26.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Наконец , уже лучше .Сейчас посмотрю логи.

  4. #3
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    63
    Спасибо. Извините, что прикрепил не так, как надо. Что-то я стормозил, хоть на картинку и глядел .

    Постараюсь сделать более коректные логи без Avast! и Symantec и правильно их загрузить.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Для удаления оставшихся компонент Symantec'a:

    1. Запустить окно командной строки и выполнить команды:
    sc stop "Symantec Core LC"
    sc delete "Symantec Core LC"


    2. Выполнить скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('symlcbrd');
     BC_DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcnet.dll');
     BC_DeleteFile('C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
     BC_Activate;
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      QuarantineFile('C:\WINDOWS\system32\flcon.dll','');
      QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
      QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
      QuarantineFile('C:\WINDOWS\svchоst.exe','');
      QuarantineFile('C:\WINDOWS\csrss.exe','');
      DeleteFile('C:\WINDOWS\csrss.exe');
      DeleteFile('C:\WINDOWS\svchоst.exe');
      DeleteFile('C:\WINDOWS\system32\perfc000.dat');
      BC_ImportQuarantineList;
      BC_ImportDeletedList;
      ExecuteSysClean;
      BC_Activate;
      ExecuteRepair(6);
      ExecuteRepair(9);
      ExecuteRepair(7);
      ExecuteRepair(12);
    RebootWindows(true);
    end.
    Если не будет рабочего стола после пункта 1:
    Надо нажать CRTL+ALT+DEL. В появившемся диспетчере задач нажать кнопку "Новая задача", и в открывшемся окне выбора файла выбрать avz.exe и нажать OK.A затем выполнить предложенный скрипт.


    Будет автоматическая перезагрузка после пункта 1 ,в любом случае пункт 2 и 3 выполнить .
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
     ExecuteRepair(8);
     ExecuteRepair(16);
     RebootWindows(true);
    end.
    Будет автоматическая перезагрузка после пункта 2.

    3.Прислать весь карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9800...

    P.S. Лечение не закончено. Выполните то,что сказал Bratez и я, продолжение следует ...
    Последний раз редактировалось drongo; 17.05.2007 в 13:58.

  7. #6
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    63
    Карантин прислал.

    Есть одно уточнение, касающееся выгрузки avast!
    Я выяснил - цивилизованно выгрузить avast! нельзя. Я сделал это вручную, и вот как:
    1. Отключил “защиту доступа” в меню резидентной программы (которая висит в трее)
    2. Остановил службы (Пуск -> Панель управления -> Администрирование -> Службы)
      • avast! Antivirus
      • avast! iAVS4 Control Service
    3. Завершил процесс “ashDisp.exe” через диспетчер задач (нажав CTRL+ALT+DEL)

    Я подумал, может это будет интересно, раз тут немало людей пользуется этим антивирусом.

    И ещё у меня есть одно небольшое замечание, касающееся работы этого сайта. После загрузки карантина появилось окно, свидетельствующее об этом. Там была строчка:

    Файл сохранён как/td> 070517_211843_virus_464c8e7305eef.zip

    Исправьте, пожалуйста, тег “</td>”.

    И большое вам спасибо за помощь.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Поменяйте пока пароли от всего, если вы говорите что пинч был.
    Спасибо за замечания, примем к сведению. Если бы вы ещё картинки к манипуляциям с авастом сделали - было бы просто замечательно.

  9. #8
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    63
    Уважаемый drongo!

    Так как Вы ранее писали
    P.S. Лечение не закончено. Выполните то,что сказал Bratez и я, продолжение следует...
    то как относится к Вашим словам об изменении паролей? Насколько это безопасно сейчас?
    Продолжение будет или нет?

    P.S.: А куда картинки скидывать с avast!ом?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      DeleteFile('C:\WINDOWS\system32\flcon.dll',);
      ExecuteSysClean;
      BC_ImportDeletedList;
      BC_Activate;
      ExecuteRepair(6);
      ExecuteRepair(9);
      ExecuteRepair(7);
      ExecuteRepair(12);
    RebootWindows(true);
    end.
    Меняйте пароли срочно!!!
    Давайте новые логи.
    А картинки и описалово - это в другой раздел форума http://virusinfo.info/forumdisplay.php?f=39, там ваши рекомендации буду кстати.
    Последний раз редактировалось Alex_Goodwin; 18.05.2007 в 05:09.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Понимать в прямом смысле, пароли поменять от всего. Мыло, аськи , банки, сайты . во общем что не успеете поменять- то пропало.
    Хорошая у вас коллекция, даже свеженький пинч есть.
    Код:
     
    Здравствуйте,
    
    avz00001.dta
    
    Вредоносный код в файле не обнаружен.
    
    avz00002.dta,
    bcqr00001.dat,
    bcqr00002.dat - not-a-virus:AdWare.Win32.Delf.l
    
    Это файлы от рекламной системы. Такие файлы детектируются
    расширенным набором баз. Подробная информация о
    расширенных базах: http://www.kaspersky.ru/extraavupdates
    
    avz00003.dta,
    bcqr00005.dat,
    bcqr00006.dat - Backdoor.Win32.Small.os,
    
    avz00004.dta - Trojan.Win32.Agent.alv
    
    Эти файлы определяются антивирусом. Обновите антивирусные базы.
    
    avz00005.dta - Trojan-PSW.Win32.LdPinch.bzs
    
    Детектирование файла будет добавлено в следующее обновление.
    
    Пожалуйста, при ответе включайте переписку целиком.
    
    --
    С уважением, Дмитрий Швецов
    Вирусный аналитик Лаборатории Касперского.
    e-mail: [email protected]
    http://www.kaspersky.com/
    
    http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.
    http://www.kaspersky.com/helpdesk.html - техническая поддержка
    
    
    
    > Attachment: 070517_211843_virus_464c8e7305eef.zip
    
    >  VirusInfo Из темы http://virusinfo.info/showthread.php?t=9800 070517_211843_virus_464c8e7305eef.zip
    >
    _______________________________________________
    Suspected mailing list
    [email protected]
    http://mail.virusinfo.info/mailman/listinfo/suspected_virusinfo.info
    Где же ваши новые логи, о которых говорил Alex Godvin ? Перед этим выполните его скрипт. Надо посмотреть, что осталось.
    Последний раз редактировалось drongo; 18.05.2007 в 07:52.

  12. #11
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    63
    Всё выполнил.
    Вот логи.
    Спасибо за предупреждение по поводу паролей.
    Последний раз редактировалось Dihlophos; 28.05.2007 в 21:26.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.Давайте ещё раз вот такой :
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      DeleteFile('C:\WINDOWS\system32\flcon.dll');
      DeleteFile('C:\WINDOWS\system32\swmclip.dll');
      BC_ImportDeletedList;
      BC_Activate;
      ExecuteSysClean;
     RebootWindows(true);
    end.
    2. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: Flash Console v.4.1 - {BCC8A4AB-C055-461E-B4B5-1B0EA8647897} - C:\WINDOWS\system32\flcon.dll
    O21 - SSODL: VStorage - {13B3A7EB-9A97-469D-AD40-0D8266EC6469} - swmclip.dll (file missing)
    3. Сделать новые логи! ( не забудете запустить эксплорер перед выполнением каждого лога)
    Последний раз редактировалось drongo; 18.05.2007 в 14:31.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от Dihlophos Посмотреть сообщение
    И ещё у меня есть одно небольшое замечание, касающееся работы этого сайта. После загрузки карантина появилось окно, свидетельствующее об этом. Там была строчка:

    Файл сохранён как/td> 070517_211843_virus_464c8e7305eef.zip

    Исправьте, пожалуйста, тег “</td>”.

    И большое вам спасибо за помощь.
    Вам спасибо, за очередное напоминание Давно собирался убрать, но все забывал. Пофиксено.

  15. #14
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    63
    Строки пофиксил.
    Логи сделал.
    Эксплорер загрузить не забыл.
    Последний раз редактировалось Dihlophos; 28.05.2007 в 21:26.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Пришлите эти файлы , они мне не нравятся.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      ClearQuarantine;
      QuarantineFile('C:\a297622c84708fc6530949\update\update.exe','');
      QuarantineFile('C:\afb7af10ef0deda008315655293ed188\update\update.exe','');
      QuarantineFile('C:\Program Files\ABBYY FineReader 8.0 ProfessionalEdition\fr8.1.3.patch.exe','');
      BC_ImportQuarantineList;
      BC_LogFile(GetAVZDirectory + 'boot_copy.log'); 
      BC_Activate; 
    RebootWindows(true);
    end.
    Последний раз редактировалось drongo; 19.05.2007 в 12:42.

  17. #16
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    63
    Карантин закачал.
    Логи прислать не могу - я исчерпал лимит.

    P.S.: Тема в FAQ про то, как выгрузить avast! для меня закрыта.
    А у меня картинки на подходе, да и более развёрнутое и корректное описание процесса тоже...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1577
    Логи прислать не могу - я исчерпал лимит.
    Логи пока не нужны - скрипт карантина ничего не изменяет.
    Потом просто удалите старые вложения, и можно будет прикрепить новые.
    I am not young enough to know everything...

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Цитата Сообщение от Dihlophos Посмотреть сообщение
    P.S.: Тема в FAQ про то, как выгрузить avast! для меня закрыта.
    А у меня картинки на подходе, да и более развёрнутое и корректное описание процесса тоже...
    Отправьте в личку Дронго, копирайт за вами.

  20. #19
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    63
    У меня вопрос по теме - так всё чисто?

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Вы сделали новые логи?

  • Уважаемый(ая) Dihlophos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    3. Trojan.Recycle,Trojan.Ipsof,Trojan.Proxy и.т.д.
      От Smart в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:07
    4. Ответов: 18
      Последнее сообщение: 30.05.2008, 13:57
    5. Trojan.downloader.origin., trojan.proxy., BN2.tmp, BN3.tmp, load8
      От Vedmedya в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.04.2008, 22:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00376 seconds with 17 queries