Показано с 1 по 16 из 16.

Взгляните на логи, плз (заявка № 43716)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61

    Thumbs up Взгляните на логи, плз

    На мой взгляд в логах чисто, но по опыту знаю, что Ваш взгляд отличается от моего.
    Логи сделала после восстановления возможности видеть скрытые файлы, которая почему-то пропала, пришлось изменять значение в реестре.
    Кроме того на диске очень мало места, и после удаления папки с файлами на 570 Мб, оно не увеличилось, что натолкнуло меня на мысль о вражеских засланцах. Но вполне возможно это просто неудачная сборка ХР с разными плугинами, установленная недавно сыном, и глючащая с первого дня.
    Разрешите мои сомнения.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3025
    - Выполните скрипт
    Код:
    begin
     QuarantineFile('D:\NISSAN\WH4Shell.exe','');
     QuarantineFile('D:\NISSAN\WPWShell.exe','');
     QuarantineFile('D:\WINDOWS\system32\zpgmlt.dll','');
    end.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    Последний раз редактировалось Rene-gad; 13.04.2009 в 11:30.

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61
    Карантин закачала, но подозреваю, что последний файл пуст.
    AVZ выдал:
    Выполнен карантин файла D:\NISSAN\WH4Shell.exe
    Выполнен карантин файла D:\NISSAN\WPWShell.exe
    Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\zpgmlt.dll)
    Карантин с использованием прямого чтения - ОК
    Файл успешно помещен в карантин (D:\WINDOWS\system32\zpgmlt.dll)
    Выполнен карантин файла D:\WINDOWS\system32\zpgmlt.dll

    Добавлено через 1 минуту

    И опять не показывает скрытые файлы...
    Последний раз редактировалось Rina; 13.04.2009 в 12:56. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\WINDOWS\system32\zpgmlt.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61
    Mr. Bratez, да Вы волшебник!
    На диске волшебным образом образовалось 1,5Гб свободного места, правда зверина похоже осталась на месте

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3025
    L - это у Вас флешка?

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('L:\autorun.inf','');
     DeleteFile('L:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится, закачайте карантин
    Сделайте новые логи.

  8. #7
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61
    Она самая.

    А zpgmlt.dll - что за зверь?

    Дело в том, что тотал коммандер эту dll-ку видит, говорит, что это системный или скрытый файл, а удалить не может, пишет защищено от записи.
    Последний раз редактировалось Rina; 13.04.2009 в 20:44.

  9. #8
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61
    Autorun из карантина отправила.
    Новые логи:

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3025
    Цитата Сообщение от Rina Посмотреть сообщение
    А zpgmlt.dll - что за зверь?
    Net-Worm.Win32.Kido.ih

    Добавлено через 6 минут

    Выполните скрипт в безопасном режиме, флешка L д.б. подключена.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINDOWS\system32\zpgmlt.dll');
     DeleteFile('L:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Сделайте новые логи в нормальном режиме.
    Последний раз редактировалось Rene-gad; 13.04.2009 в 23:55. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61
    Не дождавшись ответа вчера ночью, я этого зловреда пыталась выкорчевать всеми известными мне способами, и паучком (Cure it), и мечом (Ice Sword). Не удалось, хотя все рапортовали об успешном удалении. А утром пришел сын и добил его лопатой (снял защиту через Total Commander). Жить стало легче, свойства папки теперь не меняются при перезагрузке, правда Word и принтер ошибки выдают по прежнему, но уже не так обидно.

    Огромное спасибо всем! Без вашей помощи мы бы не узнали фамилию зловреда и не смогли бы добить его.

    PS: AVZ не может его удалить, и даже в карантине он весит 0 байт, сейчас жалею, что не попыталась скопировать его Вам для коллекции.
    Последний раз редактировалось Rina; 14.04.2009 в 15:59.

  12. #11
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61
    Упс... Добить зловреда не удалось, сегодня он появился снова, на своем любимом месте D:\WINDOWS\system32\zpgmlt.dll, видимо окопался где-то ещё.
    Я его запаковала в ZIP- архив, закачать в запрошенный карантин?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    Закачайте. Хотя мы вроде его уже видели...

    Выполняйте последний скрипт от Rene-gad с подключенной флэшкой и новые логи - в студию.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61
    Скрипт выполнила, хотя не уверена что поможет, будем наблюдать...
    После выполнения скрипта обнаружилось какое-то новое оборудование, установить не удалось, идентифицировать тоже, просился в интернет, поискать драйвер, но не пустили, инета на этом компе нет, вернее доступ к нему закрыт, и откуда только такой зверь взялся?
    А есть какой-нибудь способ, чтобы найти остатки этого червя?

    Новые логи:

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3025
    Цитата Сообщение от Rina Посмотреть сообщение
    После выполнения скрипта обнаружилось какое-то новое оборудование
    Удалите его в диспетчере оборудования
    Цитата Сообщение от Rina Посмотреть сообщение
    А есть какой-нибудь способ, чтобы найти остатки этого червя?
    Есть: format c:\
    В логах сейчас ничего плохого не видно.

  16. #15
    Junior Member Репутация
    Регистрация
    16.04.2008
    Адрес
    Алтай
    Сообщений
    72
    Вес репутации
    61
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Есть: format c:\
    Так и думала, что всё к этому идет

    Всем большое спасибо!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    979

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\windows\system32\zpgmlt.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )
      2. \zpgmlt.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )


  • Уважаемый(ая) Rina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Взгляните на логи пжлста
      От Bonderas в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.10.2009, 00:59
    2. Взгляните пожалуйста на логи
      От Vlan в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.04.2009, 12:04
    3. Взгляните на логи плз 2
      От Bonderas в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.04.2009, 21:16
    4. Взгляните на логи пжлста
      От Bonderas в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:02
    5. взгляните пжлста на логи
      От Bonderas в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.10.2008, 14:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00710 seconds with 17 queries