Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Подозрения на вирусы (заявка № 12038)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37

    Thumbs up Подозрения на вирусы

    Начало сдесь
    http://virusinfo.info/showthread.php?t=12027

    Вообщем суть такая:
    был нод32, он нашел зараженный файл win_sl2.exe и удалил его
    Вылазит окошко при запуске (смотри по ссылке картинку)
    + еще spoolsv.exe грузит проц(но его я вроде убил)
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('EM32\LOL.EXE','');     
     QuarantineFile('mgsguard32.exe','');
     QuarantineFile('s3cure.exe','');
     QuarantineFile('C:\WINDOWS\System32\win_sl2.exe','');
     QuarantineFile('C:\WINDOWS\RTHDCPL.EXE','');
     QuarantineFile('c:\windows\system32\nod32p.exe','');  
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно пиложения 3 правил...

  4. #3
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    Отправил

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    куда вы отправили? закачать карантин нужно по ссылке http://virusinfo.info/upload_virus.php?tid=12038

  6. #5
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    Цитата Сообщение от Muzzle Посмотреть сообщение
    куда вы отправили? закачать карантин нужно по ссылке http://virusinfo.info/upload_virus.php?tid=12038
    Не отправляется размер 15мб

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Пофиксте в HijackThis следующие строки:
    O4 - HKLM\..\Run: [windows vista update] mgsguard32.exe
    O4 - HKLM\..\Run: [Windows 32Bit Secure System] s3cure.exe
    O4 - HKLM\..\Run: [WinDLL (win_sl2.exe)] rundll32.exe C:\WINDOWS\System32\win_sl2.exe,start
    O4 - HKLM\..\Run: [Winsock2 wqr1s] EM32\LOL.EXE
    O4 - HKLM\..\RunServices: [windows vista update] mgsguard32.exe
    O4 - HKLM\..\RunServices: [Windows 32Bit Secure System] s3cure.exe
    O4 - HKCU\..\Run: [windows vista update] mgsguard32.exe
    O4 - HKUS\S-1-5-18\..\RunOnce: [Winsock2 wqr1s] EM32\LOL.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Winsock2 wqr1s] EM32\LOL.EXE (User 'Default user')
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ClearQuarantine;
     QuarantineFile('mgsguard32.exe','');
     QuarantineFile('s3cure.exe','');
     QuarantineFile('c:\windows\system32\nod32p.exe','');  
     RebootWindows(true);
    end.
    пришлите карантин согласно пиложения 3 правил...

    Сделайте новый лог HijackThis и приложите к теме.

  8. #7
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    пришлите карантин согласно пиложения 3 правил...

    Сделайте новый лог HijackThis и приложите к теме.
    Результат загрузки

    Файл сохранён как070831_024650_virus_46d7c76a722d6.zipРазмер файла227100MD55656810c8705e002aa9c09c4225069c5

    Еще Каспер ругается на slmss.exe
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    slmss.exe это что то новенькое. Что про него KAV говорит?
    Пришлите его:
    C:\WINDOWS\System32\slmss.exe
    по Правилам.

    NOD32 был на компьютере, а затем вы его удалили?
    Значит NOD32 Patcher вам уже не нужен?

    PS. SP 2 на Windows XP давно надо было бы установить.

  10. #9
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    slmss.exe это что то новенькое. Что про него KAV говорит?
    Пришлите его:
    C:\WINDOWS\System32\slmss.exe
    по Правилам.

    NOD32 был на компьютере, а затем вы его удалили?
    Значит NOD32 Patcher вам уже не нужен?

    PS. SP 2 на Windows XP давно надо было бы установить.

    KAV говорит про него см. кортинку

    файл послал
    Файл сохранён как070831_061621_virus_46d7f88597815.zip

    Возможно в скором времени нод32 снова появиться
    как и SP2
    Изображения Изображения
    • Тип файла: jpg KAV.JPG (20.6 Кб, 16 просмотров)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    C:\WINDOWS\System32\slmss.exe
    Код:
    File avz00002__1_._ta received on 08.31.2007 13:21:00 (CET)
    Antivirus	Version	Last Update	Result
    AhnLab-V3	2007.9.1.0	2007.08.31	Win32/IRCBot.worm.variant
    AntiVir	7.4.1.66	2007.08.31	TR/Agent.81920.18
    Authentium	4.93.8	2007.08.31	W32/Backdoor.AWUM
    Avast	4.7.1029.0	2007.08.30	Win32:Akbot
    AVG	7.5.0.484	2007.08.31	BackDoor.Generic7.IZQ
    BitDefender	7.2	2007.08.31	DeepScan:Generic.Malware.G!IX!g.EDC05731
    CAT-QuickHeal	9.00	2007.08.30	Backdoor.Akbot.e
    ClamAV	0.91.2	2007.08.31	Trojan.Akbot
    DrWeb	4.33	2007.08.31	BackDoor.IRC.Akbot
    eSafe	7.0.15.0	2007.08.29	Win32.Akbot.e
    eTrust-Vet	31.1.5099	2007.08.31	Win32/Pomabot!generic
    Ewido	4.0	2007.08.31	Backdoor.Akbot.e
    FileAdvisor	1	2007.08.31	-
    Fortinet	3.11.0.0	2007.08.31	W32/Akbot_worm_MS06.040
    F-Prot	4.3.2.48	2007.08.31	W32/Backdoor.AWUM
    F-Secure	6.70.13030.0	2007.08.31	Backdoor.Win32.Akbot.e
    Ikarus	T3.1.1.12	2007.08.31	Backdoor.Win32.Akbot.h
    Kaspersky	4.0.2.24	2007.08.31	Backdoor.Win32.Akbot.e
    McAfee	5109	2007.08.30	W32/Akbot.worm!MS06-040
    Microsoft	1.2803	2007.08.31	Backdoor:Win32/Rbot!8C1E
    NOD32v2	2493	2007.08.31	probably a variant of Win32/Agent
    Norman	5.80.02	2007.08.30	-
    Panda	9.0.0.4	2007.08.31	W32/Ircbot.AXM.worm
    Prevx1	V2	2007.08.31	W32.MALWARE.GEN
    Rising	19.38.42.00	2007.08.31	Backdoor.Win32.Akbot.e
    Sophos	4.21.0	2007.08.31	W32/Akbot-AS
    Sunbelt	2.2.907.0	2007.08.25	-
    Symantec	10	2007.08.31	Downloader
    TheHacker	6.1.9.175	2007.08.31	Backdoor/Akbot.e
    VBA32	3.12.2.3	2007.08.30	Backdoor.Win32.Akbot.e
    VirusBuster	4.3.26:9	2007.08.30	Worm.Akbot.Gen
    Webwasher-Gateway	6.0.1	2007.08.31	Trojan.Agent.81920.18
    Additional information
    File size: 81920 bytes
    MD5: 2da61ccdc7e61781cdbd0edc36d72cc2

  12. #11
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    А вот то что я не успел отправить содержимое карантина господину
    V_Bond, имеет значение или нет
    т.е. нужно(можно) ли мне повторить его скрипт и отправить содержимое ему(в смысле сюда)

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Обязательно надо отправить карантин. Его многие желают увидеть.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    LOL.EXE -вам знакомо ?
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('EM32\LOL.EXE','');     
     QuarantineFile('C:\WINDOWS\System32\win_sl2.exe','');
     QuarantineFile('C:\WINDOWS\RTHDCPL.EXE','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  15. #14
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    Цитата Сообщение от V_Bond Посмотреть сообщение
    LOL.EXE -вам знакомо ?
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('EM32\LOL.EXE','');     
     QuarantineFile('C:\WINDOWS\System32\win_sl2.exe','');
     QuarantineFile('C:\WINDOWS\RTHDCPL.EXE','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

    Файл сохранён как070831_070454_virus_46d803e6cc83b.zip

    Добавлено через 3 минуты

    А карантин после первого скрипта в теме кому куда залить
    14.6мб
    Последний раз редактировалось drug; 31.08.2007 в 16:09. Причина: Добавлено

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    вы прислали c:\windows\system32\nod32p.exe (в этот раз его не запрашивали) ... остального нет ...
    лучше давайте с первого скрипта ... будем смотреть ....

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Залит на http://stream.ifolder.ru/3179865
    Пароль: virus

    В нем три раза C:\WINDOWS\RTHDCPL.EXE (16М)
    Последний раз редактировалось PavelA; 31.08.2007 в 17:02.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    Вы говорите вышлите содержимое карантина-я высылаю
    А че одинаковые файлы можно не слать

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    учитывая размер получившегося карантина,дублирующиеся фалы лучше не присылать,хватит и одного экземпляра

  20. #19
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    Вообщем выслал карантин без одинаковых файлов
    Файл сохранён как 070901_045511_virus_46d936ffb476d.zip
    Последний раз редактировалось drug; 03.09.2007 в 12:20.

  21. #20
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    26
    Вес репутации
    37
    Ups

  • Уважаемый(ая) drug, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. AVZ. Подозрения на вирусы
      От Рауф в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.03.2011, 23:59
    2. подозрения на вирусы
      От vasylyterkin в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.02.2011, 13:17
    3. Подозрения на вирусы
      От PrOsMo в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.02.2010, 10:59
    4. подозрения на вирусы
      От mpbakunov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.12.2009, 21:50
    5. Подозрения на вирусы
      От Bloodmike в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.11.2009, 13:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00881 seconds with 24 queries