Показано с 1 по 12 из 12.

Опять бухгалтер наловила... (заявка № 11093)

  1. #1
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69

    Exclamation Опять бухгалтер наловила...

    Где она их ухитряется собирать....
    Стоит НОД32 с регулярным обновлением.
    Пару заподозренных файлов проверил на virustotal, некоторые из антивирей детектят трояна. Эти файлы отправил на [email protected] и [email protected].
    Каспер, НОД и Др.Веб промолчали...
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('d:\winnt\csrss.exe','');
     DeleteFile('d:\winnt\csrss.exe');
     DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\65ER03OD\file[1].exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Файл сохранён как 070717_102208_virus_469c601016313.zip
    Размер файла 209962
    MD5 f4741cfb6b677ed5c9785edcb8250b14

    Сразу не сообразил, добавил в карантин еще один файл, на virustotal он был определен как троян
    Файл сохранён как 070717_102734_virus2_469c6156aa078.zip
    Размер файла 63260
    MD5 1dd99f68d79be4ae29bfb6cefbb21d32
    Последний раз редактировалось Arhimed; 17.07.2007 в 10:29.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Повторил
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:46.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    file[1].exe - Trojan-Downloader.Win32.Small.dge (новый)

    csrss.exe - Trojan-PSW.Win32.LdPinch.cel (новый)
    их мы удалили
    D:\Program Files\RealVNC\WinVNC\VNCHooks.dll - вам знакомо? Касперский детектит как потенциально опасное ПО,если знакомо, то повода для беспокойства нет.
    RealVNC- насколько помню это программа для удалённого управления.

    C:\ОбщийДоступ\lr88.exe - Email-Worm.Win32.Zhelatin.fv (новый)
    вы его удалили?


    В логах ничего плохого нет, маил агент установлен в системе?если нет то можно ещё почистить мусор оставшийся от него.
    Последний раз редактировалось Muzzle; 17.07.2007 в 11:51. Причина: посмотрел логи

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Arhimed Посмотреть сообщение
    Где она их ухитряется собирать....
    думаю, что тут:
    Internet Explorer v5.00 SP4 (5.00.2920.0000)
    www.windowsupdate.com давно посещали?

  9. #8
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Цитата Сообщение от Muzzle Посмотреть сообщение
    file[1].exe - Trojan-Downloader.Win32.Small.dge (новый)

    csrss.exe - Trojan-PSW.Win32.LdPinch.cel (новый)
    их мы удалили
    D:\Program Files\RealVNC\WinVNC\VNCHooks.dll - вам знакомо? Касперский детектит как потенциально опасное ПО,если знакомо, то повода для беспокойства нет.
    RealVNC- насколько помню это программа для удалённого управления.

    C:\ОбщийДоступ\lr88.exe - Email-Worm.Win32.Zhelatin.fv (новый)
    вы его удалили?


    В логах ничего плохого нет, маил агент установлен в системе?если нет то можно ещё почистить мусор оставшийся от него.
    RealVNC я ставил VNCHooks в его составе идет, это действительно для удаленного управления.
    lr88.exe удалился Far-ом.
    Маил агент стоял когда-то, что там можно за ним почистить?

    Добавлено через 4 минуты
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    думаю, что тут:

    Цитата:


    Internet Explorer v5.00 SP4 (5.00.2920.0000)


    www.windowsupdate.com давно посещали?
    Я вроде обновлял IE до 6 sp1...
    Мож только файлы закинул, а запустить забыл... :-)
    Наверно надо переводить на Оперу, надежнее будет, думаю.
    Последний раз редактировалось Arhimed; 17.07.2007 в 12:05. Причина: Добавлено сообщение

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Скрипт в AVZ
    Код:
    begin
    DeleteFile('D:\WINNT\SYSTEM32\MraSearch.dll');
    BC_DeleteFile('D:\WINNT\SYSTEM32\MraSearch.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    после перезагрузки пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\WINNT\SYSTEM\Mra.EXE (file missing)
    R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - D:\WINNT\SYSTEM32\MraSearch.dll
    Действительно лучше использовать альтернативные браузеры например Opera,Firefox.
    повторите лог HijackThis
    Последний раз редактировалось Muzzle; 17.07.2007 в 12:17. Причина: добавил

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Arhimed Посмотреть сообщение
    Наверно надо переводить на Оперу, надежнее будет, думаю.
    Оно-то конечно так, но дыры в IE, который является частью операционки, латать все-таки необходимо.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Оно-то конечно так, но дыры в IE, который является частью операционки, латать все-таки необходимо.
    IE5 SP4 для Windows 2000 должен лататься через Windows Update. Заплатки к нему выходят.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Должен, но, в принципе, можно поставить IE6 - http://www.microsoft.com/downloads/d...b-20b602228de6 - правда, обновления для него через Windows Update все-равно крайне рекомендуется получить.

  • Уважаемый(ая) Arhimed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение! Бухгалтер...
      От st.diesel в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.06.2010, 14:01
    2. Подозрение! Главный бухгалтер...
      От st.diesel в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.06.2010, 13:16
    3. Ответов: 10
      Последнее сообщение: 31.12.2009, 01:36
    4. опять ЦП загружен на 100%. Опять вирус?
      От cosack в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.10.2008, 22:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00559 seconds with 19 queries