Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Какая то зараза сидит. Пособите изничтожить. (заявка № 14139)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    27
    Вес репутации
    62

    Exclamation Какая то зараза сидит. Пособите изничтожить.

    Собственно сидит чего-то. Симантек говорит троян.пандекс вроде бы удаляет, потом опять появляется. И ещё про руткит и хактул ругается и инфостилер. Вобщем полный винегрет.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    У вас старая версия AVZ, скачайте 4.27.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WIN_XP\system32\сsrss.exe','');
     QuarantineFile('C:\WIN_XP\system32\winsos.exe','');
     QuarantineFile('C:\WIN_XP\system32\winsn.exe','');
     QuarantineFile('C:\WIN_XP\system32\syst80.dll','');
     QuarantineFile('C:\WIN_XP\system32\shovth.exe','');
     DeleteFile('C:\WIN_XP\system32\syst80.dll');
     DeleteFile('C:\WIN_XP\system32\winsn.exe');
     DeleteFile('C:\WIN_XP\system32\winsos.exe');
     DeleteFile('C:\WIN_XP\system32\сsrss.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Обновите базы AVZ и сделайте новые логи.

    Добавлено через 5 минут

    Забыл добавить: похоже, у вас восстановление системы не отключено. Отключите его перед выполнением вышесказанного.
    Последний раз редактировалось Bratez; 13.11.2007 в 14:08. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    27
    Вес репутации
    62
    Карантин отправил. Логи сейчас сделаю.
    AVZ и базы обновил.
    Восстановление системы было отключено.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Trojan-Spy.Win32.KeyLogger.rp C:\WIN_XP\system32\winsn.exe
    Trojan-Spy.Win32.KeyLogger.rp C:\WIN_XP\system32\shovth.exe

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    27
    Вес репутации
    62
    Логи сделал. Симантек по прежнему находит Пандекс и ещё что-то.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     DeleteFile('c:\win_xp\system32\shovth.exe');
     QuarantineFile('C:\WIN_XP\system32\сsrss.exe','');
     DeleteFile('C:\WIN_XP\system32\winsn.exe');
     QuarantineFile('C:\WIN_XP\system32\winsos.exe','');
     DeleteFile('C:\WIN_XP\system32\сsrss.exe');
     BC_DeleteFile('C:\WIN_XP\system32\сsrss.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин.

    Сделать доп. лог из раздела "Чаво" в защищ. режиме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    ОТКЛЮЧИТЕ восстановление системы!

  9. #8
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    27
    Вес репутации
    62
    Цитата Сообщение от rubin Посмотреть сообщение
    ОТКЛЮЧИТЕ восстановление системы!
    Почему вы считаете что не отключено?
    Отключено с момента установки системы.
    Перепроверил ещё раз: галочка стоит "Отключить восстановление системы".
    Может какая зараза её восстанавливает?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    В логах видны файлы C:\System Volume Information\_restore****** и подобные

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    это проделайте ...
    повторите логи... + лог о котором говорил PavelA ...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    C:\System Volume Information\_restore****** видимо остались от предыдущей инсталляции Windows.

    Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe','');
    DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0001963.EXE');
    DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0001987.EXE');
    DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0004556.com');
    DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002001.COM');
    DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002388.COM');
    DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002601.COM');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    27
    Вес репутации
    62
    При выполнении последнего скрипта АВЗ повис и больше не запускается. Говорит нет прав доступа.
    Карантин после скрипта PavelA выслал, лог в безопасном режиме тоже.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ладно, оставим в покое эти restore, они не опасны, т.к. к вашей системе не принадлежат.
    Вот этот файл вам знаком? -
    C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe
    Если не уверены в его безопасности, выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    и пришлите карантин.
    I am not young enough to know everything...

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    http://virusinfo.info/showthread.php?t=10387 - вот такой лог нужно сделать и прикрепить сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    27
    Вес репутации
    62
    Карантин выслал. Лог в безопасном режиме сейчас сделаю.
    Симантек по прежнему при каждой перезагрузке находит "инфостилер".

    Добавлено через 1 минуту

    Папку с game0.exe удалил совсем. Не нужна.
    Последний раз редактировалось Autocom; 14.11.2007 в 16:15. Причина: Добавлено

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Файл в карантин не попал, ждем лог

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Майлрушный агент установлен? В нем часто Симантек находит инфостеалер.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    27
    Вес репутации
    62
    Да агент установлен.
    Лог в безопасном режиме прилагаю.
    Кстати сейчас autorun.inf вроде больше не появляются.
    И раньше сам-собой исчезал просмотр скрытых файлов.
    Теперь нет не исчезает.
    Вложения Вложения

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     BC_QrFile('\??\C:\WIN_XP\system32\drivers\ntosnh.sys');
     BC_QrFile('\??\C:\WIN_XP\system32\drivers\ntoss.sys');
     BC_DeleteFile('\??\C:\WIN_XP\system32\drivers\ntosnh.sys');
     BC_DeleteFile('\??\C:\WIN_XP\system32\drivers\ntoss.sys');
     BC_QrSvc('ntosnh');
     BC_QrSvc('ntoss');
     BC_DeleteSvc('ntosnh');
     BC_DeleteSvc('ntoss');
     BC_Activate;
     RebootWindows(true);
    end.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WIN_XP\system32\drivers\ntoss.sys','');
     QuarantineFile('C:\WIN_XP\system32\drivers\ntosnh.sys','');
     BC_DeleteFile('C:\WIN_XP\system32\drivers\ntosnh.sys');
     BC_DeleteFile('C:\WIN_XP\system32\drivers\ntoss.sys');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Если что-то попадет в карантин, то прислать.

    В Симантеке можно настроить "Исключения" чтобы он не ругался на библиотеку от Агента.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Autocom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. autorun.inf не могу изничтожить
      От garikb в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.05.2010, 20:12
    2. Какая то зараза сидит...
      От prostgpru в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.12.2009, 18:38
    3. Какая-то зараза сидит.
      От IgorKH в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.06.2009, 15:53
    4. На компе сидит какая-то зараза
      От andreyka65 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.11.2007, 16:29
    5. Непойму,какая зараза у меня сидит
      От saku в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.07.2007, 11:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01536 seconds with 18 queries