Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 52.

Помогите пожалуйста Win32.Alman.1 (заявка № 14039)

  1. #1
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34

    Question Помогите пожалуйста Win32.Alman.1

    короче в дровах к купленой видюхе походу есть жизнь......
    доктор веб кричит что это
    Win32.Alman.1
    начал руатсья на экзешки расположеные на различных локальных дисках, ппц((((


    Запустил скрипт в авз4, ниже логи, пожалуйста помогите замочить паразита.
    Вложения Вложения
    Последний раз редактировалось Макcим; 10.11.2007 в 09:11. Причина: Убрал virusinfo_cure.zip

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    а ещё вот авз написал , как это исправить скажите пожалуйста, я никому доступ не открывал, юзаю фаирвол +

    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    Добавлено через 13 минут

    после перезагрузки как попросила программа AVZ, доктор веб начл ещё сильнее ругатсья , зараженых фаилов стало ещё больше(((( что делать помогите
    до AVZ он сидел тихо и мирно пачти.

    Добавлено через 2 минуты

    жессссть он стал жрать всё подряд((((((((((((((

    Добавлено через 10 минут

    как его отсановить((((
    Последний раз редактировалось flashback; 10.11.2007 в 02:43. Причина: Добавлено

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Win32.Alman - файловый вирус. Вот пример: http://www.viruslist.com/ru/viruses/...virusid=156642 . Соответственно, лечить его нужно - загружайтесь в безопасном режиме и запускайте полную проверку антивирусом (в идеале - записать свежий cureit с чистой машины на cd - болванку и запустить проверку им). Проверку следует повторять несколько раз, до тех пор, пока названный вирус не перестанет обнаруживаться. А логов по правилам я не вижу. Virusinfo_cure.zip - карантин AVZ - Уберите его из вложений в теме и загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=14039 . И с нетерпением ждем, когда появится лог исследования системы и лог Hijackthis.

  5. #4
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    вложеные фаилы не удаляются, пишет что нет прав....
    поповоду ссылки на пример, исполняемых фаилов и ключа в рестре нету(((((((((

    уежаю из города на сутки, поставлю полную проверку вебом в сэфе моде,
    скажите какие фаилы сканить маски фаилов, exe точно, ещё видел .sys файл в дровах в виндир...или все фаилы проверять?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Полная проверка - это проверка всех файлов

  7. #6
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    по приезду оформлю топик по всем правилам...
    извините...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Ждем

  9. #8
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    только приехал домой доктор веб закончил проверку. заражено и излечено больше ста файлов, проверял в безопасном режиме....
    читаю рулес.док ОТКЛЮЧАЮ востановление ситстемы в БЕЗОПАСНОМ РЕЖИМЕ,
    читаю дальше рулес, думаю нафик я это сделал...
    перегружаю комп чтоб начать проверку и сбор инфы по скрипту для virusinfo.info
    гружу в нормал
    жду.... после загрузки (бегающих кубиков)) на пол секунды синий экран и комп автоматом ребут!!!!!!!
    я в шоке... лезу опять в безопасный, чтобы включить востановление системы..
    и что я вижу(((( - извините в сэфе моде нельзя включить востановление сист.. плиз подгрузитесь в нормал режиме...
    это ппц... приплыли(
    пожалуйста скажите что делать.
    я дурак внимательно ен просмотрел все фаилы тронутые вебом.
    бегло оббежал - одни екзешки полеченые, ну и выключил веб, в логах что то нету ничего по проверке полной.

    помогите что делать???

    и ещё пару вопросов:
    1. если я всё же смогу включить востановление системы, я смогу откатить систему на момент ещё живых екзешников моих((( ? когда их ещё вирус не побил,

    2. как можно проверить на наличие вируса папку востановление системы, и где она назодиться?

    Добавлено через 2 минуты

    скажите как мне или избавиться от этог осинего экрана, или включить систем рестор?
    Последний раз редактировалось flashback; 11.11.2007 в 15:35. Причина: Добавлено

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    как можно проверить на наличие вируса папку востановление системы, и где она назодиться?
    System Volume Information
    Раз отключили восстановление, значит папка уже очищена, и это хорошо.

    Сделайте в безопасном такой лог:
    http://virusinfo.info/showthread.php?t=10387
    и лог HijackThis.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM


    ----

    протоколы и логи с HijackThis. сейчас выложу
    Последний раз редактировалось flashback; 11.11.2007 в 16:42.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Пофиксьте:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [WinSysW] H:\WINDOWS\swchost.exe
    Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('H:\WINDOWS\swchost.exe','');
     DeleteFile('H:\WINDOWS\swchost.exe');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  13. #12
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    сори перезалил
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    извините...
    что значит профиксить?

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538

  16. #15
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    всё сделал....
    а как нормальный режим системы вернуть(?

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    И еще один скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('H:\WINDOWS\IGW.exe','');
     QuarantineFile('H:\WINDOWSsystem32\drivers\nvmini.sys','');
     DeleteFile('H:\WINDOWS\IGW.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    карантин выслан

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Trojan-PSW.Win32.Lmir.bos H:\WINDOWS\IGW.exe
    Trojan-PSW.Win32.OnlineGames.hfr H:\WINDOWS\swchost.exe

    По окончании лечения смените все пароли

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    swchost.exe - Trojan-PSW.Win32.OnLineGames.hfr
    IGW.exe - Trojan-PSW.Win32.Lmir.bos

    К сожалению в предыдущий скрипт вкралась ошибка
    Выполните такой скрипт :
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('H:\WINDOWS\system32\drivers\nvmini.sys','');
     DeleteFile('H:\WINDOWS\IGW.exe');
     DeleteFile('H:\WINDOWS\swchost.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    10.11.2007
    Сообщений
    26
    Вес репутации
    34
    все пароли в инэте? О_о или на машине?

    делаю скрипт перегружаюсь

    Добавлено через 1 минуту

    5 минут все будет готово...

    Добавлено через 9 минут

    карантин выслан,
    интересует такой вопрос эти трояны плоды работы Win32.Alman ???
    или они давно в системе сидят, возможно ли узнать дату их появления...
    и разве тини фаервол не мог блокировать их?
    Последний раз редактировалось flashback; 11.11.2007 в 17:35. Причина: Добавлено

  • Уважаемый(ая) flashback, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. win32.alman.b
      От ZAP! в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.11.2009, 00:06
    2. Win32.Alman
      От ALP в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.11.2008, 17:17
    3. alman!! Пожалуйста помогите
      От Hotsunbeam в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.11.2008, 22:47
    4. Win32/Alman.nab?
      От SerhiyKa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2008, 12:28
    5. Ответов: 21
      Последнее сообщение: 06.04.2008, 22:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00108 seconds with 22 queries