-
расадник зверей
Доброго времени суток всем! мне сейчас принесли жесткий диск загаженый сворой зловредов..... Этот хард я пришпандорил к своему рабочему компу НОД оборался при сканировании щас я вам выслал архивчик с карантином.... логи из АВЗ в скором времени тоже прилеплю а из HijackThis помоемому лог слать смысла нет ведь он будет зделан из моей винды а не из инфецированой.... а пока можете сказать что там на ловилось и на мой взгляд половина не попала
Файл сохранён как070504_144032_virus.fotorama_463b0da08a9d3.zipР азмер файла159101MD5d81264f6d5c772558bc5fc0b54ce7fff
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
я вам выслал архивчик с карантином....
Зачем? Если НОД их знает - пусть удаляет, интереса в них никакого, imho. Вот когда пролечите диск, верните его в родную систему, и уже там сделайте логи. Будет ясно, что еще доделать.
-
-
Сообщение от
Bratez
Зачем? Если НОД их знает - пусть удаляет, интереса в них никакого, imho. Вот когда пролечите диск, верните его в родную систему, и уже там сделайте логи. Будет ясно, что еще доделать.
нод не все их знает(
он выдал что 7 неопознаных(
кстате ктонибудь в курсе где находиться нодовский карантин????
он гад их в свой карантин увалок(
p/s
логи будут через 20 мин
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
нод не все их знает(
он выдал что 7 неопознаных(
Вот я и говорю - пусть удалит то, что знает. А остальное по логам будем карантинить и разбираться.
-
-
Сообщение от
fotorama
кстате ктонибудь в курсе где находиться нодовский карантин????
В папке General >Settings>Advanced >Quarantine
-
-
Сообщение от
Rene-gad
В папке General >Settings>Advanced >Quarantine
благодарю щас гляну если вам нужно могу преслать
а вот и логи из моей системы..... (ребят там вроде чето проскакивает из документов пользователя лисичкиной на это не оброщайте внимание)
Последний раз редактировалось fotorama; 10.05.2007 в 17:40.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
В вашей системе (на диске C) ничего подозрительного, а вот система на диске D очевидно заражена серьезно.
-
-
Вот это добро поискать, в карантин и прислать.
Больше всего первый не понравился мне.
Код:
D:\WINDOWS\system32\drivers\ip6fw.sys
D:\WINDOWS\system32\msdrives\msdrvctrl.exe
D:\WINDOWS\Temp\rspryolt.exe
D:\WINDOWS\msdrvctrl.exe
D:\t12eqweqw3.exe
Кстати, думаю, что свежий Cure-It справился бы с этим и без нашей помощи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
PavelA, Вы прямо стихами пишите
-
-
Сообщение от
PavelA
Больше всего первый не понравился мне.
Да что ж тут может понравиться: http://www.sophos.com/security/analyses/trojpushua.html, Пушкин Вы наш
-
-
файл %SystemRoot%\system32\drivers\ip6fw.sys - имеет право на существование, как IPv6 Windows Firewall Driver , но AVZ на него ругаться не должен. Кстати, версия AVZ - старая, актуальная версия - 4.25
-
-
Сообщение от
Numb
Кстати, версия AVZ - старая, актуальная версия - 4.25
сори чегото не глянул какая у него версия(
вот новые логи если надо то щас новой версией пройдусь и заного залью...
впринципе я комп кучей антивирей чистил но у меня еще остались подозрения о существование зверюшек (логи с его радной системы)
Последний раз редактировалось fotorama; 10.05.2007 в 17:40.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
вот новые логи если надо то щас новой версией пройдусь и заного залью...
Сделайте пожалуйста, анализировать будет намного легче.
Сразу скажу - подозрения ваши не напрасны!
-
-
Сообщение от
Bratez
Сделайте пожалуйста, анализировать будет намного легче.
Сразу скажу - подозрения ваши не напрасны!
все понел щас базу обнавлю и новые логи наделаю
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Последний раз редактировалось fotorama; 10.05.2007 в 17:40.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
До чего же их много! Давайте для начала вот так:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\abcdefgh.dll','');
QuarantineFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp','');
QuarantineFile('windpy32.dll','');
QuarantineFile('v7.exe','');
QuarantineFile('c:\windows\system32\ldcore.dll','');
QuarantineFile('c:\DriverLoad\windrv0.exe','');
QuarantineFile('C:\windows\webal.exe','');
QuarantineFile('C:\windows\bfxtray.exe','');
QuarantineFile('C:\WINDOWS\System32\gqlpw32.dll','');
QuarantineFile('C:\WINDOWS\System32\dfme.dll','');
QuarantineFile('C:\WINDOWS\System32\Gojgbplm.dll','');
QuarantineFile('C:\Program Files\Common Files\winctl.dll','');
QuarantineFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\23247\explorer.exe','');
QuarantineFile('ndisrd.sys','');
QuarantineFile('C:\WINDOWS\system32\windpy32.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\smpi1\bin.exe','');
DeleteFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\23247\explorer.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
DeleteFile('C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL');
DeleteFile('C:\WINDOWS\msdrvctrl.exe');
DeleteFile('c:\DriverLoad\windrv0.exe');
DeleteFile('C:\Program Files\NewDotNet\newdotnet6_38.dll');
DeleteFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки - карантин и новые логи в студию
Папки C:\DriverLoad и C:\Program Files\NewDotNet после скрипта удалите полностью.
-
-
скрипт выполнил правдо похоже не все попало вот логи и карантин
Файл сохранён как/td> 070507_170337_virus.fotorama_463f23a9dfd93.zip
Размер файла1071235
MD57a3125c5dc18745836e9c53d561e56a3
Последний раз редактировалось fotorama; 10.05.2007 в 17:40.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
'C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\ эту дерикторию очистил ручками.... хм странно вроде все TEMPы чистил а тут они остались .....
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
C:\WINDOWS\System32\windpy32.dll - Trojan.Win32.Agent.qt
Выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\windpy32.dll');
DelSPIbyFilename('abcdefgh.dll',true);
AutoFixSPI;
ClearHostsFile;
BC_DeleteFile('C:\WINDOWS\system32\windpy32.dll');
BC_DeleteFile('C:\WINDOWS\System32\lzx32.sys');
BC_DeleteFile('C:\WINDOWS\System32\abcdefgh.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если нарушится связь с интернетом, используйте AVZ - восстановлние системы - п.14 - перезагрузка, если не помогло - п.15 - перезагрузка.
Карантин ДрВеба удалите
C:\Documents and Settings\Руслан\DoctorWeb\Quarantine
Это не все, пока смотрю дальше.
-
-
Сообщение от
Bratez
C:\WINDOWS\System32\windpy32.dll - Trojan.Win32.Agent.qt
Выполните такой скрипт:
Это не все, пока смотрю дальше.
благодарю за скрипт все выполнил вот только проверить пропал ли инет иль нет пока не смогу..... просто к рабочей сетке я побаеваюсь заразную машину подрубать..... но востонавление всеравно для профилактики проделал
Последний раз редактировалось anton_dr; 07.05.2007 в 18:01.
Незнание закона не освобождает от ответственности.
Знание - запросто
-