|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] troyan-psw.win32.agent.inf (он же «mcv»,«ljf») заблокировал реестр и шутит с клавой |
|
|||||
|
|
[решено] troyan-psw.win32.agent.inf (он же «mcv»,«ljf») заблокировал реестр и шутит с клавой
|
Новый участник Сообщения: 8 |
ИНФА ПО СИСТЕМЕ малютка dell d600, os winxp pro версия 5.1.2600 sp2, железо intel pentium m, 1,6 ghz, 1 gb, права admin, сетки нет, шнурок в интернет (все лиценз., покуп., обновол. и т.п.) ИНФА ПО ЗАРАЗЕ тroyan-psw.win32.agent.inf обнаружен в тревожных сообщениях прог: drweb v433 и kaspersky anti-virus personal v50 оба антивируса обещают уничтожить «букашку» после перезагрузки, но для дрвеба и касперского она бессмертна. в протоколе avz v4.30 подтверждается, что: протокол антивирусной утилиты avz версии 4.30 Сканирование запущено в 05.04.2009 … Загружена база: сигнатуры - 217499, нейропрофили - 2, микропрограммы лечения - 56, база от 05.04.2009 21:08 Загружены микропрограммы эвристики: 372 Загружены микропрограммы ипу: 9 Загружены цифровые подписи системных файлов: 106028 Режим эвристического анализатора: средний уровень эвристики Режим лечения: выключено Версия windows: 5.1.2600, service pack 2 ; avz работает с правами администратора Восстановление системы: отключено… …3. Сканирование дисков c:\windows\system32\video.sys >>> подозрение на trojan-psw.win32.agent.mcv ( 09856a7e 06f31a32 000ece44 002799e1 28416 там же найдена еще одна «блошка»: 5. Поиск перехватчиков событий клавиатуры/мыши/окон (keylogger, троянские dll) C:\windows\system32\vmmreg32.dll --> подозрение на keylogger или троянскую dll C:\windows\system32\vmmreg32.dll>>> поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано очень сомневаюсь про «Типичное для кейлоггеров поведение»! vmmreg32.dll очень похожа на «keylogger или троянскую dll» но криво сделанную - часто при наборе текста в word или outlook начинаются «глюки»: то «spase» работает как «enter», то вдруг пару-тройку клавиш «залипает» и они «сами» бьют «тодкамтод- кан- кан»! troyan и keylogger каким-то образом связаны, их back up’ы храняться в c:\windows\system32\webmin\ (video.bkp и vmmreg32.bkp), и они оба восстанавливаются при перезагрузке каким-то процессом, который запускается значительно раньше антивиров или даже перехватчиков, типа «отладчика процесса "taskmgr.exe" = "c:\...\ \procexp.exe"» - процесс эксплоуер от фирмы sysinternals И ЕЩЕ 1\ troyan-psw.win32.agent.inf применяет «>> маскировку драйвера: base=f7837000, размер=28672, имя = "\??\c:\windows\system32\video.sys"», 2\ при уничтожении записи реестра: hkey_local_machine\system\currentcontrolset\services\video [hkey_local_machine\system\currentcontrolset\services\video] "type"=dword:00000001 "start"=dword:00000001 "errorcontrol"=dword:00000000 "imagepath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\ 44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,\ 00,5c,00,56,00,49,00,44,00,45,00,4f,00,2e,00,73,00,79,00,73,00,00,00 "displayname"="video" "group"="filter" [hkey_local_machine\system\currentcontrolset\services\video\security] "security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [hkey_local_machine\system\currentcontrolset\services\video\enum] "0"="root\\legacy_video\\0000" "count"=dword:00000001 "nextinstance"=dword:00000001 "initstartfailed"=dword:00000001 ничего не меняется, т.к. запись восстанавливается. 3\ болтовня avz, что он справится после перезагрузки: для удаления файла c:\windows\system32\video.sys необходима перезагрузка >>>для удаления файла c:\windows\system32\vmmreg32.dll необходима перезагрузка Автоматическая чистка следов удаленных в ходе лечения программ [микропрограмма лечения]> удален элемент автозапуска hkey_local_machine,software\microsoft\windows nt\currentversion\windows,appinit_dlls,vmmreg32.dll [микропрограмма лечения]> удален элемент автозапуска hkey_local_machine,software\microsoft\windows nt\currentversion\windows,appinit_dlls,vmmreg32.dll не оправдывается, avzguard - не запускается при следующей загрузке т.к. все активные записи реестра run, (например hkey_local_machine\software\microsoft\windows\currentversion\run) с момента инфицирования компа заблокированы для исправлений. ПРОБЛЕМЫ по той же причине не «встают» новые проги! «прыгает» курсор, на клаве «spase» работает как «enter»!! плывет политика безопасности: не закрывается доступ для «анонимов», заблокированы некоторые системные службы: типа ms «защитного экрана» или системного монитора процессов!!! тормозит интернет, хотя это не так важно, что какие-то «форточки» по портам открыты, красть нечего… СОМНЕНИЯ отправлять virusinfo_cure.zip от avz побаиваюсь. не знаю что там «насканировано» - закрыт паролем, а virusinfo_syscheck.htm, и virusinfo_syscure.htm больше, чем выше сообщено, не скажут с начала года, за время «борьбы с вирусами», мне удалось многое узнать…на эту тему, разочек вручную восстанавливала систему после «экспериментов с реестром», и даже при окончательно «сдохшей» консоли восстановления сносить, типа, по советам некоторых «советчиков», на других темах: «format c:\», и ничего такого,…не хочется ЖАЛОБЫ И СТОНЫ много пишу контрольных работ в школе, и печатала до этого без проблем, а тут какой – то дурацкий «вирусенок» шутит с клавиатурой я завелась, его уничтожу, но силы не велики, поэтому: прошу помощи грамотных ребят! выброс касперского на помойку и интим с семантиком не предлагать |
|
|
Отправлено: 02:57, 06-04-2009 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Выложите логи в сообщении, а не цитаты из них
|
|
------- Отправлено: 09:34, 06-04-2009 | #2 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать GlikaKery, Здравствуйте. Выложите логи в соответствии с этими инструкциями.
Цитата GlikaKery:
|
|
|
------- Отправлено: 09:37, 06-04-2009 | #3 |
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать Цитата iskander-k:
Цитата iskander-k:
|
||
|
Отправлено: 12:47, 06-04-2009 | #4 |
|
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать привет, os zon'a добрых дядей отдаю свои логии в ваши руки только чур без фокусов  – c'est l'ordinateur de mon papa! если что, … он меня прихлопнет как муху |
|
|
Последний раз редактировалось GlikaKery, 07-04-2009 в 23:15. Отправлено: 23:50, 06-04-2009 | #5 |
|
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать GlikaKery, пофиксите в HijackThis:
Код:
 O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O20 - AppInit_DLLs: c:\windows\system32\vmmreg32.dll
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('VIDEO', 4);
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\webmin\wmmreg32.bkp', '');
QuarantineFile('C:\WINDOWS\system32\webmin\video.bkp', '');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('VIDEO');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
|
|
Последний раз редактировалось Pili, 07-04-2009 в 11:03. Причина: добавлено по vmmreg32.dll пост 9 Отправлено: 00:07, 07-04-2009 | #6 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Повторите логи (предварительно обновив базы AVZ)
Цитата:
|
|
|
------- Отправлено: 00:09, 07-04-2009 | #7 |
|
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать Цитата thyrex:
|
|
|
Отправлено: 00:10, 07-04-2009 | #8 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Котяра,
Этого нет Код:
C:\WINDOWS\system32\webmin\wmmreg32.bkp C:\WINDOWS\system32\webmin\video.bkp Код:
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
|
|
------- Последний раз редактировалось thyrex, 07-04-2009 в 00:33. Отправлено: 00:22, 07-04-2009 | #9 |
|
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать Цитата thyrex:
|
|
|
Отправлено: 14:29, 07-04-2009 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] обнаружены вирусы Trojan.Win32.Patched.fr и Trojan.Win32.ВНО.isy | levss_09 | Лечение систем от вредоносных программ | 6 | 25-11-2009 23:00 | |
| [решено] Trojan-Ransom.Win32.Agent.gn | ][alter | Лечение систем от вредоносных программ | 2 | 18-11-2009 09:14 | |
| Вирус заблокировал реестр, диспетчер задач | KashTa | Лечение систем от вредоносных программ | 9 | 03-09-2009 21:45 | |
| Доступ - [решено] Windows xp - заблокировал учетную запись Администратора | artem4ik | Microsoft Windows 2000/XP | 22 | 06-06-2008 23:18 | |
| Как или чем обработать INF файлы с параметрам добавления в реестр? | XDefender | Автоматическая установка Windows 2000/XP/2003 | 3 | 02-10-2007 20:50 | |
|
|
Время: 00:33. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
