Показано с 1 по 12 из 12.

Опять бухгалтер наловила... (заявка № 11093)

  1. #1
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42

    Exclamation Опять бухгалтер наловила...

    Где она их ухитряется собирать....
    Стоит НОД32 с регулярным обновлением.
    Пару заподозренных файлов проверил на virustotal, некоторые из антивирей детектят трояна. Эти файлы отправил на newvirus@z-oleg.com и vendors@spywarefix.org.
    Каспер, НОД и Др.Веб промолчали...
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:45.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('d:\winnt\csrss.exe','');
     DeleteFile('d:\winnt\csrss.exe');
     DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\65ER03OD\file[1].exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Файл сохранён как 070717_102208_virus_469c601016313.zip
    Размер файла 209962
    MD5 f4741cfb6b677ed5c9785edcb8250b14

    Сразу не сообразил, добавил в карантин еще один файл, на virustotal он был определен как троян
    Файл сохранён как 070717_102734_virus2_469c6156aa078.zip
    Размер файла 63260
    MD5 1dd99f68d79be4ae29bfb6cefbb21d32
    Последний раз редактировалось Arhimed; 17.07.2007 в 10:29.

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Повторил
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:46.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    file[1].exe - Trojan-Downloader.Win32.Small.dge (новый)

    csrss.exe - Trojan-PSW.Win32.LdPinch.cel (новый)
    их мы удалили
    D:\Program Files\RealVNC\WinVNC\VNCHooks.dll - вам знакомо? Касперский детектит как потенциально опасное ПО,если знакомо, то повода для беспокойства нет.
    RealVNC- насколько помню это программа для удалённого управления.

    C:\ОбщийДоступ\lr88.exe - Email-Worm.Win32.Zhelatin.fv (новый)
    вы его удалили?


    В логах ничего плохого нет, маил агент установлен в системе?если нет то можно ещё почистить мусор оставшийся от него.
    Последний раз редактировалось Muzzle; 17.07.2007 в 11:51. Причина: посмотрел логи

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Arhimed Посмотреть сообщение
    Где она их ухитряется собирать....
    думаю, что тут:
    Internet Explorer v5.00 SP4 (5.00.2920.0000)
    www.windowsupdate.com давно посещали?

  9. #8
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    91
    Вес репутации
    42
    Цитата Сообщение от Muzzle Посмотреть сообщение
    file[1].exe - Trojan-Downloader.Win32.Small.dge (новый)

    csrss.exe - Trojan-PSW.Win32.LdPinch.cel (новый)
    их мы удалили
    D:\Program Files\RealVNC\WinVNC\VNCHooks.dll - вам знакомо? Касперский детектит как потенциально опасное ПО,если знакомо, то повода для беспокойства нет.
    RealVNC- насколько помню это программа для удалённого управления.

    C:\ОбщийДоступ\lr88.exe - Email-Worm.Win32.Zhelatin.fv (новый)
    вы его удалили?


    В логах ничего плохого нет, маил агент установлен в системе?если нет то можно ещё почистить мусор оставшийся от него.
    RealVNC я ставил VNCHooks в его составе идет, это действительно для удаленного управления.
    lr88.exe удалился Far-ом.
    Маил агент стоял когда-то, что там можно за ним почистить?

    Добавлено через 4 минуты
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    думаю, что тут:

    Цитата:


    Internet Explorer v5.00 SP4 (5.00.2920.0000)


    www.windowsupdate.com давно посещали?
    Я вроде обновлял IE до 6 sp1...
    Мож только файлы закинул, а запустить забыл... :-)
    Наверно надо переводить на Оперу, надежнее будет, думаю.
    Последний раз редактировалось Arhimed; 17.07.2007 в 12:05. Причина: Добавлено сообщение

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Скрипт в AVZ
    Код:
    begin
    DeleteFile('D:\WINNT\SYSTEM32\MraSearch.dll');
    BC_DeleteFile('D:\WINNT\SYSTEM32\MraSearch.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    после перезагрузки пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\WINNT\SYSTEM\Mra.EXE (file missing)
    R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - D:\WINNT\SYSTEM32\MraSearch.dll
    Действительно лучше использовать альтернативные браузеры например Opera,Firefox.
    повторите лог HijackThis
    Последний раз редактировалось Muzzle; 17.07.2007 в 12:17. Причина: добавил

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Arhimed Посмотреть сообщение
    Наверно надо переводить на Оперу, надежнее будет, думаю.
    Оно-то конечно так, но дыры в IE, который является частью операционки, латать все-таки необходимо.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Оно-то конечно так, но дыры в IE, который является частью операционки, латать все-таки необходимо.
    IE5 SP4 для Windows 2000 должен лататься через Windows Update. Заплатки к нему выходят.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Должен, но, в принципе, можно поставить IE6 - http://www.microsoft.com/downloads/d...b-20b602228de6 - правда, обновления для него через Windows Update все-равно крайне рекомендуется получить.

  • Уважаемый(ая) Arhimed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрение! Бухгалтер...
      От st.diesel в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.06.2010, 14:01
    2. Подозрение! Главный бухгалтер...
      От st.diesel в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.06.2010, 13:16
    3. Ответов: 10
      Последнее сообщение: 31.12.2009, 01:36
    4. опять ЦП загружен на 100%. Опять вирус?
      От cosack в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.10.2008, 22:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01665 seconds with 23 queries