Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 69.

W32.Rahack

  1. #1
    Guest

    W32.Rahack

    По этой инструкции http://securityresponse.symantec.com...32.rahack.html вроде вычистил торяна, но после него остались exe-шники
    Стоит только войти в в папку в которой есть эти гады (exe-шники), и тут же опять происходит заражение. Чем можно почистить комп от этой гадости ?!?

  2. Реклама
     

  3. #2
    Geser
    Guest

    Re:W32.Rahack

    Антивирусом?

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    55

    Re:W32.Rahack

    Антивирусом, в безопасном режиме, а лучше вообще из консоли.

  5. #4
    Guest

    Re:W32.Rahack

    Norton Antivirus ничего странного в них не находит
    база от 05.01.05г.
    Хотя когда происходит инфицирование, он ругается и помещает что то в карантин...

  6. #5
    Geser
    Guest

    Re:W32.Rahack

    Цитата Сообщение от Den
    Norton Antivirus ничего странного в них не находит
    база от 05.01.05г.
    Хотя когда происходит инфицирование, он ругается и помещает что то в карантин...
    Тогда http://virusinfo.info/index.php?boar...ay;threadid=20
    А вообще Нортон далеко не лучший антивирус.

  7. #6
    Guest

    Re:W32.Rahack

    AVZ тоже не нашел ничего странного в exe-шниках оставшихся после Rahack`а

  8. #7
    Geser
    Guest

    Re:W32.Rahack

    Цитата Сообщение от Den
    AVZ тоже не нашел ничего странного в exe-шниках оставшихся после Rahack`а
    А там разве не написано что если не поможет нужно логи сделать?

  9. #8
    Guest

    Re:W32.Rahack

    Сорри

    Logfile of HijackThis v1.99.0
    Scan saved at 10:50:59, on 12.01.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\termsrv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\msdtc.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\FireBird\bin\ibserver.exe
    C:\WINNT\System32\llssrv.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\r_server.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\dns.exe
    C:\WINNT\system32\Dfssvc.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\igfxtray.exe
    C:\WINNT\system32\hkcmd.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\MZ Arhivator\saviour.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\msiexec.exe
    C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
    C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
    C:\PROGRA~1\Symantec\LIVEUP~1\LUALL.EXE
    D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis. exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ya.ru
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Startup: MZ Архиватор.lnk = C:\Program Files\MZ Arhivator\saviour.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - file://C:\Program Files\SAV\clt-inst\WEBINST\webinst.cab
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1E722059-B4D9-4C58-BD6D-5AED5CF73478}: NameServer = xx.xx.xx.xx,xx.xx.xx.xx
    O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Intel PDS - Unknown - C:\WINNT\System32\cba\pds.exe (file missing)
    O23 - Service: Firebird Server - Unknown - C:\Program.exe (file missing)
    O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: Remote Administrator Service - Unknown - C:\WINNT\System32\r_server.exe

    StartupList report, 12.01.2005, 10:51:18
    StartupList version: 1.52.2
    Started from : D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis. EXE
    Detected: Windows 2000 SP4 (WinNT 5.00.2195)
    Detected: Internet Explorer v5.00 SP4 (5.00.2920.0000)
    * Using default options
    * Showing rarely important sections
    ==================================================

    Running processes:

    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\termsrv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\msdtc.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\FireBird\bin\ibserver.exe
    C:\WINNT\System32\llssrv.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\r_server.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\dns.exe
    C:\WINNT\system32\Dfssvc.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\igfxtray.exe
    C:\WINNT\system32\hkcmd.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\MZ Arhivator\saviour.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\msiexec.exe
    C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
    C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
    D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis. exe

    --------------------------------------------------

    Listing of startup folders:

    Shell folders Startup:
    [C:\Documents and Settings\nik\Start Menu\Programs\Startup]
    MZ Архиватор.lnk = C:\Program Files\MZ Arhivator\saviour.exe

    Shell folders Common Startup:
    [C:\Documents and Settings\All Users\Start Menu\Programs\Startup]
    Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

    --------------------------------------------------

    Checking Windows NT UserInit:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    UserInit = C:\WINNT\system32\userinit.exe,

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    IgfxTray = C:\WINNT\system32\igfxtray.exe
    HotKeysCmds = C:\WINNT\system32\hkcmd.exe
    vptray = C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    internat.exe = internat.exe

    --------------------------------------------------

    Enumerating Active Setup stub paths:
    HKLM\Software\Microsoft\Active Setup\Installed Components
    (* = disabled by HKCU twin)

    [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
    StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APPE /CALLER:WINNT /user /install

    [{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
    StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll

    [{7790769C-0471-11d2-AF11-00C04FA35D02}] *
    StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

    [{89820200-ECBD-11cf-8B85-00AA005B4340}] *
    StubPath = regsvr32.exe /s /n /i:U shell32.dll

    [{89820200-ECBD-11cf-8B85-00AA005B4383}] *
    StubPath = %SystemRoot%\system32\ie4uinit.exe

    --------------------------------------------------

    Shell & screensaver key from C:\WINNT\SYSTEM.INI:

    Shell=*INI section not found*
    SCRNSAVE.EXE=*INI section not found*
    drivers=*INI section not found*

    Shell & screensaver key from Registry:

    Shell=Explorer.exe
    SCRNSAVE.EXE=*Registry value not found*
    drivers=*Registry value not found*

    Policies Shell key:

    HKCU\..\Policies: Shell=*Registry key not found*
    HKLM\..\Policies: Shell=*Registry value not found*

    --------------------------------------------------

    Checking for EXPLORER.EXE instances:

    C:\WINNT\Explorer.exe: PRESENT!

    C:\Explorer.exe: not present
    C:\WINNT\Explorer\Explorer.exe: not present
    C:\WINNT\System\Explorer.exe: not present
    C:\WINNT\System32\Explorer.exe: not present
    C:\WINNT\Command\Explorer.exe: not present
    C:\WINNT\Fonts\Explorer.exe: not present

    --------------------------------------------------

    Checking for superhidden extensions:

    .lnk: HIDDEN! (arrow overlay: yes)
    .pif: HIDDEN! (arrow overlay: yes)
    .exe: not hidden
    .com: not hidden
    .bat: not hidden
    .hta: not hidden
    .scr: not hidden
    .shs: HIDDEN!
    .shb: HIDDEN!
    .vbs: not hidden
    .vbe: not hidden
    .wsh: not hidden
    .scf: HIDDEN! (arrow overlay: NO!)
    .url: HIDDEN! (arrow overlay: yes)
    .js: not hidden
    .jse: not hidden

    --------------------------------------------------

    Enumerating Download Program Files:

    [Shockwave Flash Object]
    InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
    CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

    [WebBasedClientInstall Class]
    InProcServer32 = C:\WINNT\Downloaded Program Files\WebInst.Dll
    CODEBASE = file://C:\Program Files\SAV\clt-inst\WEBINST\webinst.cab

    --------------------------------------------------

    Enumerating Windows NT/2000/XP services

    AFD Networking Support Environment: \SystemRoot\System32\drivers\afd.sys (autostart)
    Alerter: %SystemRoot%\System32\services.exe (autostart)
    Computer Browser: %SystemRoot%\System32\services.exe (autostart)
    DefWatch: C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe (autostart)
    Distributed File System: %SystemRoot%\system32\Dfssvc.exe (autostart)
    DHCP Client: %SystemRoot%\System32\services.exe (autostart)
    Logical Disk Manager: %SystemRoot%\System32\services.exe (autostart)
    DNS Server: %SystemRoot%\System32\dns.exe (autostart)
    DNS Client: %SystemRoot%\System32\services.exe (autostart)
    Event Log: %SystemRoot%\system32\services.exe (autostart)
    Intel PDS: C:\WINNT\System32\cba\pds.exe (autostart)
    Firebird Server: C:\Program Files\FireBird\bin\ibserver -s (autostart)
    Server: %SystemRoot%\System32\services.exe (autostart)
    Workstation: %SystemRoot%\System32\services.exe (autostart)
    License Logging Service: %SystemRoot%\System32\llssrv.exe (autostart)
    TCP/IP NetBIOS Helper Service: %SystemRoot%\System32\services.exe (autostart)
    Messenger: %SystemRoot%\System32\services.exe (autostart)
    Distributed Transaction Coordinator: C:\WINNT\System32\msdtc.exe (autostart)
    NAVAPEL: \??\C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAPEL.SYS (autostart)
    Symantec AntiVirus Client: C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe (autostart)
    Removable Storage: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
    Plug and Play: %SystemRoot%\system32\services.exe (autostart)
    IPSEC Policy Agent: %SystemRoot%\System32\lsass.exe (autostart)
    Protected Storage: %SystemRoot%\system32\services.exe (autostart)
    Remote Registry Service: %SystemRoot%\system32\regsvc.exe (autostart)
    Remote Procedure Call (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
    Remote Administrator Service: "C:\WINNT\System32\r_server.exe" /service (autostart)
    Security Accounts Manager: %SystemRoot%\system32\lsass.exe (autostart)
    Task Scheduler: %SystemRoot%\system32\MSTask.exe (autostart)
    RunAs Service: %SystemRoot%\system32\services.exe (autostart)
    System Event Notification: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
    Print Spooler: %SystemRoot%\system32\spoolsv.exe (autostart)
    Still Image Service: %systemroot%\system32\stisvc.exe (autostart)
    Terminal Device Driver: \SystemRoot\System32\drivers\termdd.sys (autostart)
    Terminal Services: %SystemRoot%\System32\termsrv.exe (autostart)
    Distributed Link Tracking Client: %SystemRoot%\system32\services.exe (autostart)
    Windows Management Instrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)


    --------------------------------------------------

    Enumerating ShellServiceObjectDelayLoad items:

    Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
    WebCheck: C:\WINNT\System32\webcheck.dll
    SysTray: stobject.dll

    на сколько я понял Rahack`а больше на машине нет, от него остались только exe-шники которые не вытирают ни NAV ни AVZ
    Руками вытирать - не вариант ...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288

    Re:W32.Rahack

    Вот этих не знаю:
    C:\WINNT\System32\r_server.exe (видимо, сам RAdmin?)
    C:\Program Files\MZ Arhivator\saviour.exe
    Завернить в архив с паролем virus и отошлите на virus@virusinfo.info

    У вас там терминальный сервер установлен?

  11. #10
    Guest

    Re:W32.Rahack

    Это свои
    первый - Radmin мой
    второй - типа бакапер
    установлен терминальный клиент...
    exe-шник оставшийся от Rahack`а скинуть на мыло?

  12. #11
    Geser
    Guest

    Re:W32.Rahack

    Цитата Сообщение от Den
    exe-шник оставшийся от Rahack`а скинуть на мыло?
    Давай

  13. #12
    Geser
    Guest

    Re:W32.Rahack

    Кстати, а что за папка с зараженными файлами? Там только зараженные, или чистые тоже есть?

  14. #13
    Guest

    Re:W32.Rahack

    Он создет exe-шники рядом с нормальной html`кой с таким же значком
    При запуске html`ки запускается exe и происходит инфицирование

  15. #14
    Guest

    Re:W32.Rahack

    Exe выслал

  16. #15
    Geser
    Guest

    Re:W32.Rahack

    Комп домашний? Если да, то очень советую сменить антивирус. На файлик посмотрим. Возможно Олег добавит детектирование в АВЗ, и можно будет им почистить.

  17. #16
    Guest

    Re:W32.Rahack

    Комп рабочий, NA корпоративный
    А какой посоветуете? AVP кажется мне тяжелым, Dr.Web - не внушает доверия ...
    думаю лучше firewall накатить, хоть в следующий раз может поможет

  18. #17
    Geser
    Guest

    Re:W32.Rahack

    Цитата Сообщение от Den
    Комп рабочий, NA корпоративный
    А какой посоветуете? AVP кажется мне тяжелым, Dr.Web - не внушает доверия ...
    думаю лучше firewall накатить, хоть в следующий раз может поможет
    AVP тяжелый, но вопрос что важнее, скорость или безопасность.
    Dr.Web очень неплох, хотя бывают иногда некоторые глюки.
    В общем это лидеры по обеспечению безопасности. Из остальных, насколько я могу судить, неплохи Битдефендер и НОД
    firewall не предотвражает заражения (кроме сетевых червей). Единственное что, он может помешать трояну отправить информацию с компа. Но не всегда.

  19. #18
    Guest

    Re:W32.Rahack

    Дык а чем exe-шники погрохать то ??? ???
    а то страшно сохраненные html-ки открывать.

  20. #19
    Geser
    Guest

    Re:W32.Rahack

    Цитата Сообщение от Den
    Дык а чем exe-шники погрохать то ??? ???
    а то страшно сохраненные html-ки открывать.
    Я думаю Олег добавит в АВЗ, можно будет им и почистить.

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    55

    Re:W32.Rahack

    Цитата Сообщение от Den
    Дык а чем exe-шники погрохать то ??? ???
    а то страшно сохраненные html-ки открывать.
    Смени значек для HTML на какой нибудь не стандартный, а еще лучше браузер (если это не противоречет политике предприятия), В результате будеш точно разлечать своих и чужих.

Страница 1 из 4 1234 Последняя

Похожие темы

  1. win32.rahack
    От [500mhz] в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 07.04.2008, 19:26

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00346 seconds with 19 queries