Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 57.

буйство вирусов?! (заявка № 12401)

  1. #1
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62

    Thumbs up буйство вирусов?!

    Уважаемые, здравствуйте!
    Компьютер стал как-то особенно задумчив, интернет - заторможен.
    На всякий случай проверился Cureit-ом - он накосил более 40 файлов с вирусами...

    День работал спокойно, к вечеру следующего - та же картинка, только теперь компьютер еще и приноровился сам чего-то таскать из интернета, без всякой на то видимой причины.

    В обычном режиме avz, увы, не запускается, потому логи снимаю в безопасном.

    Прошу помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите...
    Код:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
     QuarantineFile('Scmn41.sys','');
     DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     BC_DeleteSvc('ICF');     
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
      RebootWindows(true);
    end.
    после перезагрузки еще один...
    Код:
    begin
    ExecuteRepair(11);
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Пришлите ещё как написано в правилах файл
    c:\windows\system32\winlogon.exe

  5. #4
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62
    Готово.

    winlogon в архиве с паролем virus.

    P.S.: avz начал запускаться в обычном режиме

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    не вижу ни карантина после скрипта не winlogon ....
    отправлять по ссылке...
    http://virusinfo.info/upload_virus.php?tid=12401

  7. #6
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62
    Залил еще раз, получил два подтверждения вида:
    Результат загрузки

    Файл сохранён как070912_134919_virus_46e834af19ece.zipРазмер файла468286MD5e9ba885aa1719759755ddb93a7981a37Файл закачан, спасибо!

    P.S.: avz загружаться в обычном режиме перестал.
    Полтергейст?!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от SMajor Посмотреть сообщение
    Готово.
    winlogon в архиве с паролем virus.
    Чистый, вернее полеченный антивирусом, поэтому контролька не верная. Можно оставить так, хотя лучше заменить на оригинальный из дистрибутива Windows.

    Повторите ещё раз логи.

  9. #8
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62
    Отправляю логи.
    avz упрямо не запускается.

    А как обойти защиту, чтобы заменить winlogon?
    Ни в защищенном режиме, ни в обычном, не получается - ОС защищает себя...
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    нужен дистрибутив на диске ....
    пуск-выполнить-cmd
    expand D:\i386\winlogon.ex_ C:\windows\system32\winlogon.exe
    вместо D:\ - может быть другая буква...(соответствующая СD)

  11. #10
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    70
    avz упрямо не запускается.
    Переименуйте avz.exe в a1.exe и попробуйте снять логи в обычном режиме!
    Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...

  12. #11
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62
    V_Bond
    Заменилась!
    А поясните, плз, в чем загвоздка: сегодня с утра тренировался - ну никак не получалось! Или дело в сейчас отключенном восстановлении?

    XL
    Запустилась

    Вы там факиры, что-ли?

    Логи прилагаю.

    Машинка вроде оживает.
    Вот только активность в канале в интернет - неуправляемая, подскажите, плз: это как-то лечится?
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys','');
     QuarantineFile('C:\WINDOWS\spooldr.exe','');
     DeleteFile('C:\WINDOWS\spooldr.exe');
     DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');     
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

  14. #13
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62
    Готово:
    Результат загрузки
    Файл сохранён как 070912_160916_virus_46e8557c2c970.zip
    Размер файла 151991
    MD5 8cd7c6fea854bd0a1b5ca7cff8a73259

    Файл закачан, спасибо!

    Вот что любопытно: даже при выключенном компьютере лампочка на модеме моргает. Это значит, скорее всего, что инициируется соединение снаружи.

    Хакеры?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    \SystemRoot\system32\DRIVERS\tcpip.sys найдите и пришлите с паролем , как написано в правилах ...
    повторите логи...

  16. #15
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62
    Готово.

    Файл загружен:
    Результат загрузки

    Файл сохранён как070912_170622_virus_46e862de0e5cc.zipРазмер файла206858MD501aa185c71c2e8e22923e5cf03330289
    логи в аттаче.

    Первый лог (скрипт 3) получен в защищенном режиме, в обычном снять не удалось - три попытки привели к синему экрану. Скрипт 2 avz и лог hijackthis сняты в обычном режиме.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    tcpip.sys - Trojan.Win32.Patched.ao (по Касперскому)

    Его нужно заменить

    пуск-выполнить-cmd
    expand X:\i386\tcpip.sy_ Y:\windows\system32\tcpip.sys
    где X - вашего CD,а Y - буква локального диска на котором установлена система.

    Пофиксите с помощью HijackThis :
    Код:
    O20 - Winlogon Notify: botreg - C:\WINDOWS\
    И повторите логи,думая теперь с этим не будет проблем
    PS.поищите файл Scmn41.sys и пришлите его по правилам.

  18. #17
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62
    Заменил, только путь, наверное, должен быть немного другой: c:\windows\system32\drivers\tcpip.sys ?

    Запуск скрипта 3 снова привело ОС к синему экрану, потому скрипт выполнен в защищенном режиме.

    Логи прилагаю.

    Файл Scmn41.sys найти не могу...
    Где он может прятаться?
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от SMajor Посмотреть сообщение
    Заменил, только путь, наверное, должен быть немного другой: c:\windows\system32\drivers\tcpip.sys ?
    все верно...
    сделайте еще один лог http://virusinfo.info/showthread.php?t=10387

  20. #19
    Junior Member Репутация
    Регистрация
    17.05.2007
    Сообщений
    46
    Вес репутации
    62
    Готово.
    Вложения Вложения

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Не открывается лог. Что-то Вы там намудрили.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) SMajor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Куча вирусов
      От craftix в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.06.2010, 16:31
    2. куча вирусов
      От zoloto895 в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 21.03.2010, 22:29
    3. Ответов: 1
      Последнее сообщение: 10.10.2009, 20:01
    4. Кучка вирусов
      От giggs в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.03.2009, 13:20
    5. Куча вирусов!
      От Steel в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.09.2008, 17:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00242 seconds with 20 queries