Показано с 1 по 15 из 15.

Поймал вирус (заявка № 27934)

  1. #1
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    7
    Вес репутации
    58

    Exclamation Поймал вирус

    Система Windows Server 2003 SP2
    Симптомы:
    Блокирует диспетчер задач, редактор реестра, загрузку в SafeMode (исключая режим восстановления службы каталогов).
    При попытке воспользоваться пакетом администрирования сервера ругается на MS.dll. При загрузке долго выполняет сетевые подключения, не видит никого в сети, с удаленного компьютера его видно, но доступ заблокирован. Нет корректного завершения работы при перезагрузке или выключении (не дождался). Через сетевые диски заразились другие компьютеры, хотя через gpedit.msc было запрещена автозагрузка со всех видов носителей.
    Дома перед переустановкой системы (еще не зараженной) проверил что мелькает в диспетчере задач, при подключении зараженной флешки появились 3 процесса:
    dppn.pif, rubdll32.exe, notepad.exe, на последний обругался брендмауэр после чего он исчез из процессов.
    Также в сетевых дисках были замечены следующие файлы помимо autorun.inf: catttp, hdsh, qwim
    AVZ запустился только после переименования каталога и исполняемого файла.
    Возможно это случайность, но компьютер с WinXP SP1 и отключенным брендмауэром оказался незараженным в отличии от SP2
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oonijs.sys','');
    end.
    пришлите карантин согласно приложения 3 правил ...

  4. #3
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    7
    Вес репутации
    58
    Выполнен карантин файла C:\WINDOWS\svchost.exe
    Выполнен карантин файла C:\WINDOWS\services.exe
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\oonijs.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\oonijs.sys)
    Карантин с использованием прямого чтения - ошибка
    Карантин выслал

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ... (будет перезагрузка)
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\oonijs.sys','');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    7
    Вес репутации
    58
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\oonijs.sys)
    Карантин с использованием прямого чтения - ошибка
    Логи высылаю
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('asc3360pr');
     DeleteFile('C:\WINDOWS\system32\drivers\oonijs.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ( авз не забудьте обновить )

  8. #7
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    7
    Вес репутации
    58
    Выполнил, высылаю логи с п.10, АВЗ обновил
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\system32\drivers\oonijs.sys - force delete
    затем скрипт из поста 6 и логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    7
    Вес репутации
    58
    oonijs.sys не обнаружен по данному пути, пробовал искать средствами AVZ даный файл не найден. Скрипты из поста 6 делать?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    смысла нет ... похоже его на диске нет ....
    авз - сервис - модули пространства ядра - вибирите нужный снимите дамп .... запакуйте и приложите ...

  12. #11
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    7
    Вес репутации
    58
    Что-то Эксплорер постоянно вешается когда выполняю операции над файлами через проводник, через Far нормально. И постоянно работает жесткий диск, без остановки.
    Прилагаю дамп
    Вложения Вложения
    Последний раз редактировалось charth; 13.08.2008 в 16:42.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    есть возможность загрузится с сd и поискать файл ?

  14. #13
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    7
    Вес репутации
    58
    WinPE попробовать можно.
    Удалось запустить CureIT с cd в безопасном режиме (до этого никак не удавалось запустить), нашел множество exe-файлов зараженных вирусом Win32.Sector.9 это не он?
    Сейчас почитал в Инете про этот вирус, правда с цифрой 5, похоже у меня более новая модификация. Там советуют
    1) Отключение от сети
    2) загрузку с LiveCD
    3) Лечение CureIT+AviraAntiVir
    4) чистка реестра (вариантов несколько)
    С первыми 3-мя пунктами проблем не возникнет, а вот насчет 4-го... Боюсь окончательно добить систему, если можно помочь пожалуйста помогите советами, как это сделать наиболее безболезнено.
    Хотя может есть и другой путь?
    Последний раз редактировалось charth; 14.08.2008 в 08:23.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от charth Посмотреть сообщение
    WinPE попробовать можно.
    Удалось запустить CureIT с cd в безопасном режиме (до этого никак не удавалось запустить)
    драйвер который не хотел удаляться блокировал запуск большинства антивирусных программ
    Цитата Сообщение от charth Посмотреть сообщение
    нашел множество exe-файлов зараженных вирусом Win32.Sector.9 это не он?
    проверка cureit из пож сd - самый лучший вариант ...
    после сделайте логи ....

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.rp (DrWEB: Trojan.Packed.573)


  • Уважаемый(ая) charth, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поймал вирус
      От RubichekS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.05.2012, 00:42
    2. Поймал вирус
      От P--ashk--A в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.03.2012, 23:16
    3. Поймал вирус
      От hunter25 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.05.2011, 10:12
    4. Поймал вирус!!!
      От dimkont в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.07.2009, 05:03
    5. Поймал вирус
      От Noopp в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 05:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01207 seconds with 20 queries