Показано с 1 по 18 из 18.

Trojan типа ErrorSafe + LdPinch (остатки) (заявка № 9873)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    8
    Вес репутации
    62

    Thumbs up Trojan типа ErrorSafe + LdPinch (остатки)

    Троян открывает всплывающие окна и загружает страницы из интернета, используя как MSExplorer, так и Firefox. Файрвол COMODO ругается что-то по поводу WinApi_DllInit, или вроде того. При сканировании система пару раз уходила в ребут. Ранее был заражен также LdPinch, но видимо удалил не польностью, до сих пор его находит НОД в временных файлах.
    Помогите разобраться.
    Логи в аттаче.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\rminiv3.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\pstrip.sys','');
     QuarantineFile('C:\WINDOWS\system32\vturopo.dll','');
     QuarantineFile('C:\WINDOWS\system32\awvtt.dll','');
     QuarantineFile('c:\windows\explorer.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите содержимое карантина согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вдогонку:
    У вас работают сразу две службы-сервера для удаленного управления вашим компьютером.
    Это так и было задумано?
    Код:
    O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\rserver3.exe
    O23 - Service: z2 Remote2PC Server (z2 R2PC Server) - z2 Software - p:\Program Files\z2 Remote2PC\R2PCServ.exe
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    8
    Вес репутации
    62
    Содержимое карантина отправил.
    По поводу служб удаленного доступа: раннее так было задумано, но теперь в них у меня уже нет необходимости. Готов их удалить из системы.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    vturopo.dll определяется Касперским как not-a-virus:AdWare.Win32.Virtumonde.jp.
    awvtt.dll - судя по результатам Virustotal, нечто свеженькое из той же серии.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\awvtt.dll');
     DeleteFile('C:\WINDOWS\system32\vturopo.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {6418E868-1DCB-4225-ACAF-30ABB940A2EB} - C:\WINDOWS\system32\vturopo.dll
    O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - (no file)
    O2 - BHO: (no name) - {A2DD6E39-4208-4287-A69C-7316A49BD627} - C:\WINDOWS\system32\awvtt.dll
    O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
    O20 - Winlogon Notify: awvtt - C:\WINDOWS\system32\awvtt.dll
    O20 - Winlogon Notify: vturopo - C:\WINDOWS\SYSTEM32\vturopo.dll
    (некоторых строк может и не оказаться).

    Программы удаленного администрирования удаляйте штатными средствами, если не получится - дам доп. инструкции.

    Проверьте с помощью поиска файлов в AVZ, присутствуют ли следующие файлы:
    C:\UPSctrl\DataShield\scripts\win2000\jsl.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\snmptrap.exe
    Q:\Alcohol\Alcohol 120\StarWind\StarWindService.exe
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    8
    Вес репутации
    62
    спасибо за помощь!
    Скрипт выполнил.
    В HijackThis пофиксил.

    По файлам:
    C:\UPSctrl\DataShield\scripts\win2000\jsl.exe - отсутствует
    C:\WINDOWS\System32\snmp.exe - отсутствует
    C:\WINDOWS\System32\snmptrap.exe - отсутствует
    Q:\Alcohol\Alcohol 120\StarWind\StarWindService.exe - отсутствует

    Что делать дальше?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    По поводу 4-х отсутствующих файлов - можно зачистить мусор в реестре, для этого проще всего использовать окошко командной строки, в котором набрать следующие команды:

    sc delete DataShield
    sc delete SNMP
    sc delete SNMPTRAP
    sc delete StarWindService


    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    8
    Вес репутации
    62
    Логи в аттаче.

    Подскажите, какой , по вашему мнению, автоматической системой вирусной защиты стоит пользоваться в будущем для предубеждения подобных текущей ситуаций? Сейчас использую NOD32+COMODO Personal Firewall.
    Последний раз редактировалось ivmreg; 19.05.2007 в 17:14.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Похоже, еще не все... Новенькое что-то появилось.
    Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\mstask.dll','');
     QuarantineFile('C:\WINDOWS\system32\uccchkxn.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    и пришлите карантин по правилам.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    8
    Вес репутации
    62
    карантин закачан.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    mstask.dll - чистый.
    uccchkxn.dll - свежая модификация Trojan.Virtumod
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\uccchkxn.dll');
     BC_DeleteFile('C:\WINDOWS\system32\uccchkxn.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Попробуйте разыскать вручную файл netman.dll.
    Если найдется, пришлите по правилам.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    8
    Вес репутации
    62
    Скрипт выполнен.
    netman.dll - найден
    Код:
    C:\WINDOWS\$NtUninstallKB905414$\netman.dll
    C:\WINDOWS\system32\netman.dll
    Архивирован вручную с паролем "virus" (поместить в карантин через AVZ не удалось),
    отправлен согласно процедуре.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от ivmreg Посмотреть сообщение
    Код:
    C:\WINDOWS\$NtUninstallKB905414$\netman.dll
    C:\WINDOWS\system32\netman.dll
    оба файла - оригиналы Made in Richmond .

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    netman'ы оригинальные.
    Сделайте еще раз новые логи, начиная с п.10 правил.

  16. #15
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    8
    Вес репутации
    62
    Предыдущие шаги выполнил, отсылаю контрольный отчет.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Теперь все чисто. Разве что вот эти две службы:
    Код:
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\windows\system32\sessmgr.exe
    O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
    я бы рекомендовал отключить, если конечно вы их не используете.

    Подскажите, какой , по вашему мнению, автоматической системой вирусной защиты стоит пользоваться
    Лично мое мнение: Kaspersky Internet Security.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    19.05.2007
    Сообщений
    8
    Вес репутации
    62
    Большое спасибо за оперативную и профессиональную помощь!
    Я последую Вашим советам, эти службы я не использую.
    Ещё раз спасибо! :-)

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\awvtt.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod)
      2. c:\\windows\\system32\\uccchkxn.dll - not-a-virus:AdWare.Win32.Virtumonde.ar (DrWEB: BackDoor.Iterator)
      3. c:\\windows\\system32\\vturopo.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)


  • Уважаемый(ая) ivmreg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 14.11.2010, 18:32
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 05:58
    3. Ответов: 4
      Последнее сообщение: 24.06.2008, 20:44
    4. trojan.PWS.LDPinch.TDD
      От Kacnep в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 21.01.2008, 22:45
    5. Trojan-PSW.Win32.LdPinch.bcv...
      От Shadow[13] в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 23.11.2006, 07:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01271 seconds with 20 queries