Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Помогите определить, что за тварь... (заявка № 20596)

  1. #1
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59

    Exclamation Помогите определить, что за тварь...

    Мужики, дело такое:

    ВПЕРВЫЕ за 6 безоблачных лет я словил какую-то гадость! Назвал это "Судный день - восстание машин" =)

    Словил так, что на этот раз немогу отловить.. Вобщем при загрузке винды выкидывается окошко - мол "хочу в инет!" и кнопки "работать автономно" и "подглючиться" - жму автономно - пропадает, далее опять "хочу в инет!" и так 5-8 окошек подряд... PS: Естественно не прям "хочу в инет", а гуманно - по-майкрософтовски.. похоже на родное. думаю это и есть родное сообщение.

    Значит Process Explorer показывает вот что:



    Все вирусы казнил сначала NODом (2 штуки), потом последним Dr.Web (98 штук) - у обоих новые базы. Делайте выводы!

    Сделал очистку реестра (Reg Supreme Pro)

    Что ещё-то? Что вызывает подключение к инету? Как это убрать? Перестановку ОС не предлагать.

    Кстати, стоит Outpost Firewall тоже последний.. Так вот.. минут 15 работает, потом вешает весь инет. Навожу на значёк в трее, а он мёртвый (чёрный и надпись что-то вроде "неактивен" или "не может быть чё-то там") Вобщем я пока его снёс.. Тоесть такое чувство, что какая-то падла ещё и фаэр мой убивает!

    В автозагрузке ничего подозрительного не нашёл.

    Помогите!


    PS: Не получается прикрепить логи. вставляю, нажимаю "загрузить" и мне пишет:

    вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

    1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
    2. Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.


    Вот логи, сделанные по всем правилам:

    virusinfo_syscheck.zip (_ttp://slil.ru/25629906)
    virusinfo_syscure.zip (_ttp://slil.ru/25629904)
    hijackthis.log (_ttp://slil.ru/25629900)
    Последний раз редактировалось Topine; 28.03.2008 в 18:49. Причина: Забыл логи.. пардон.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    Всё сделал, пардон!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Temp\10.tmp','');
    QuarantineFile('D:\Software\Desktop changer\wdc.exe','');
    QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
    QuarantineFile('D:\Software\uICE\devices\pcidrv.sys','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\stremu.sys','');
    QuarantineFile('C:\WINDOWS\system32\pr2anrjb.exe','');
    QuarantineFile('C:\WINDOWS\system32\SSMS.EXE','');
    QuarantineFile('C:\WINDOWS\system32\winmgnt.exe','');
    QuarantineFile('C:\WINDOWS\system32\drivers\sdpiosys.sys','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\ps7anrjb.sys','');
    QuarantineFile('C:\WINDOWS\system32\Drivers\pe3anrjb.sys','');
    QuarantineFile('C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll','');
    DeleteFile('C:\WINDOWS\system32\ntos.exe');
    DeleteFile('C:\WINDOWS\Temp\10.tmp');
    DeleteFile('C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll');
    DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
    DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
    DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20596 ).

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
    Если Вы не добавляли в файл Hosts строчку 81.177.17.70 u1.eset.com или Вам она незнакома, то пофиксите еще:
    O1 - Hosts: 81.177.17.70 u1.eset.com

    Сделайте новые логи.
    Последний раз редактировалось kps; 29.03.2008 в 01:07. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    kps, всё сделал по пунктам, спасибо. Подключение к инету при загрузке пропало (что же это было такое? ntos?). Ещё не проверял фаэрволл на убиваемость. Буду тестировать.

    PS:
    Код F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe

    не нашёл после выполнения Вашего скрипта. Файл userinit.exe остался (с Microsoft'овской подписью), а ntos.exe не нашёл.

    Вот новые логи:
    Последний раз редактировалось Topine; 19.06.2009 в 12:21.

  7. #6
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    Фаэрволл не глючит уже сутки =)
    Что-нибудь ещё подозрительное есть в логах?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll Trojan-Downloader.Win32.Agent.lsw
    C:\WINDOWS\Temp\10.tmp Trojan-Downloader.Win32.zlob.jbe
    удалите временные интернет файлы ...
    winmgnt.exe - поищите при помощи авз и пришлите согласно приложения 3 правил ...
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('COMSS');
     BC_Activate;
     RebootWindows(true);
    end.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    sdpiosys.sys - Rootkit.Win32.Agent.agw
    - свежий.

    Выполните еще такой скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\drivers\sdpiosys.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
    DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
    DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте и прикрепите новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    Всё выполнил.

    Файл winmgnt.exe не нашёл AVZ. Нашёл поиском - оказалось, что он в зашифрованном архиве в карантине у старого SpyBot. Я его когда-то удалил, а "какашки" он после себя оставил-таки.

    Удалил всё, что осталось от SpyBot'а (вместе с архивом, где winmgnt.exe - пароль-то всё-равно не знаю)

    Ещё что-нибудь плохое?
    Последний раз редактировалось Topine; 19.06.2009 в 12:21.

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Раз winmgnt.exe удалён, почистим следы. Выполните в АВЗ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\winmgnt.exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('NETDDEC');
    BC_DeleteSvc('COMCSVC');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Как система. Врагов вроде бы больше не видать. Очистите временные интернет файлы.

    MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
    Как-то не актуально. Internet Explorer v7.00 - это актуальная версия, желательно установить + все критические обновления.

  12. #11
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    Да, система в порядке. Спасибо большое всем!
    Только иногда система подтормаживает почему-то.. Spider Guard выключен, выгружен, деактивирован...

    Как-то не актуально.
    Да дело в том, что я пользуюсь Mozilla. А Explorer мне не интересен. вот я его и не трогаю...

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  14. #13
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Вы то его может и не трогаете, но некоторые программы трогают, хоть Вы об этом и не подозреваете. Так что не мешало бы прикрыть эту "дырочку" в безовасности.

  15. #14
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    Ясно. Всем ОГРОМНОЕ!!! спасибо! Отзыв оставлю по-любому! Всем знакомым Вас рекомендовал!
    Уважение!

  16. #15
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    Ребята, а что это за файл такой? Процесс не убивается.





    Нашёл только здесь:


    Вобщем этот процесс я наблюдал ещё при первом обращении к Вам, так что, думаю логи делать не обязательно.

    Этот файл я, как есть заZIPовал с паролем virus
    Последний раз редактировалось Topine; 05.04.2008 в 21:49.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    файл нам отправлен?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    присланный файл чистый ...
    Wireless адаптер у вас есть ? это скорее от него ...

  19. #18
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    Alex_Goodwin
    Да, отправлен через "запрошенный карантин"

    V_Bond
    Wireless адаптера точно нету. Никакого доп оборудования..

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Wifi у вас точно нет ... ?

  21. #20
    Junior Member Репутация
    Регистрация
    28.03.2008
    Сообщений
    58
    Вес репутации
    59
    WiFi ТОЧНО нет

  • Уважаемый(ая) Topine, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите определить руткит или нет
      От Orientor в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.06.2011, 15:08
    2. Помогите определить вид вируса
      От Бук в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.01.2010, 03:13
    3. помогите определить файл
      От vivabazooka в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 13.10.2009, 16:27
    4. Помогите определить причину
      От Gorski в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.08.2009, 09:46
    5. Помогите определить зловреда.
      От virusxr866 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.03.2009, 14:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00072 seconds with 18 queries