Показано с 1 по 20 из 20.

Проверьте, пожалуйста, зверье или нет. (заявка № 10557)

  1. #1
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35

    Thumbs up Проверьте, пожалуйста, зверье или нет.

    Суть проблеммы в следующем:
    1.Начал тормозить комп
    2.Время от времени подтормаживает либо самостоятельно ведет себя мышь
    3.При проверке в SafeMode свежим Сureit обнаруживается в C:\WINDOWS\system32 process.exe про который Сureit пишет Toll.Prockill
    4.после переименования process.exe в process.#xe и перезагрузки в норм. режим жить машине становится заметно легче
    Логи сделаны без переименования process.exe.
    Стоит KISа 6 trial с свежими базами.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Ну, что сказать.
    1. Прислать то, что попало в карантин. ХХХ-сайты до добра не доводят.
    2. Плохо жить без SP2. Надо бы как-нибудь его установить. Скорее всего, после его установки потребуется повторная активация Виндов.
    3. Определится с каким антивирусом будете жить дальше. Сейчас у Вас
    видно два: KIS & остатки NODа. Из-за этого могут быть большие-е тормоза.

    Все остальное очень даже неплохо.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35
    Цитата Сообщение от PavelA Посмотреть сообщение
    Ну, что сказать. ...Все остальное очень даже неплохо.
    1."Прислать" вы имеете ввиду по ссылке вверху темы :"Прислать запрошенные файлы?" (Карантин AVZ?)
    2.Какие следы НОДа и как их изъять грамотно.
    С уважением.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Товарищи поправили. Thanks, HATTIFNATTOR
    В AVZ выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys','');
     BC_DeleteFile('C:\WINDOWS\System32\imon.dll');
     BC_DeleteFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загрузить ВЕСЬ карантин по ссылке вверху темы.
    Плюс новые логи.
    Описание:
    http://www.avira.com/ru/threats/sect...t.1222144.html
    Самое интересное в конце. Если компьютер в локальной сети, то надо будет еще поискать у соседей.
    Поискать %TEMPDIR%\removeMe%случайная комбинация из четырех букв%.bat . Ежели найдется - удалить.
    Последний раз редактировалось PavelA; 22.06.2007 в 11:48.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35
    [quote=PavelA;117558]Товарищи поправили.

    Dryunja1961 скрипт выполнился, система перезагрузилась, исчез интернет.
    Дальнейшие действия?
    P.S. на связи доверенный товарищ Дрюни

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    www.tacktech.com/pub/winsockfix/WinsockFix.zip - скачать, распаковать, запустить. Должен востановиться Интернет.
    Нужно прислать карантин от Dryunja1961. Ссылка на загрузку вверху темы.( http://virusinfo.info/upload_virus.php?tid=10557)

    На всякий пожарный, вторая ссылочка на WinsockFix

    http://www.softpedia.com/progDownloa...oad-15337.html
    Последний раз редактировалось PavelA; 22.06.2007 в 14:35.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35
    Карантин закачал.

    Файл сохранён как
    070622_154110_2007-06-22_467bb556776ba.zipРазмер файла324047MD5
    c9c3af6da44da4b5d5502f8ea99bddcf

    Инет восстановился наполовину, работает только GPRS - канал, спутник молчит, но это не важно.
    Выкладываю новые логи.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Поделитесь секретом: C:\TEMP\cd8\EXE Programs\porn-secret.exe.zip Запаковать в zip с паролем virus и по ссылке в шапке загрузить
    Нод надо удалить, если ещё не сделали.
    Попробуйте такой скрипт в авз :
    Код:
    begin
    ExecuteRepair(14);
    RebootWindows(true);
    end.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните такой скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DelSPIByFileName('imon.dll',true);
     ExecuteRepair(14);
     RebootWindows(true);
    end.
    После перезагрузки попробуйте интернет, если не пойдет - еще разок прогоните WinsockFix. Имейте ввиду, что она сбрасывает сетевые настройки, надо заново ввести IP и др.
    I am not young enough to know everything...

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    @Bratez Nod был удален ранее. После этого пропал Инет.

    @Drongo Файлик, что просишь в карантине.
    Кстати, описание его на Avira
    http://www.avira.com/ru/threats/sect...delf.fz.1.html
    Последний раз редактировалось PavelA; 22.06.2007 в 16:45.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35
    После второго применения WinSockFix и ручной коррекции IP Инет восстановил полностью.
    Каковы дальнейшие действия.
    P.S. Указанный файлец ХХХ - неудаленный еще мусор от "рыбалки".
    P.S.2. Скрипт от drongo выполнен.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Живите счастливо, но это будет не долго. Нужен SP2 с сотней обновлений после него.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35
    Спасибо всем, насчет SP2 & e.t.c. все понял, буду принимать меры.
    Наилучших пожеланий.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Чтобы уменьшить шанс заражения советую на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Советуем прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

  16. #15
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35
    Книгу прочту, Опера есть.
    Кстати, что было?
    imon.* - надо думать кусок НОДа
    oreans32.sys - а это что? Если не сложно, для общего развития.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    oreans32.sys - Riskware.Fileprotect.A, зачастую устанавливается в систему чтобы скрыть другой вредоносный код от обнаружения антивирусами.

  18. #17
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35
    Спасибо, понял.
    Вопрос чуть-чуть оффтоп. Скоро буду проверять комп родича, открывать тогда новую тему или писать сюда?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    Открывайте новую, чтобы не путаться.

  20. #19
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    35
    Спасибо.
    Успехов!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\temp\\cd8\\exe programs\\porn-secret.exe.zip - Trojan-Clicker.Win32.Galepo.x (DrWEB: archive: Trojan.Glphot)


  • Уважаемый(ая) Dryunja1961, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Зверье или баги Outpost?
      От Brodig в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.08.2010, 09:08
    2. проверьте пожалуйста
      От hebi в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.04.2010, 13:53
    3. Зверье мое
      От Ven в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:19
    4. Проблема в XP SP1? зверье поигралось
      От Aviator в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 07:44
    5. Зверье мое
      От Ven в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00612 seconds with 24 queries