-
Junior Member
- Вес репутации
- 60
В дипетчере задач висит куча непонятных процессов
В дипетчере задач висит куча непонятных процессов запущенных из папки temp, AVZ при первом запуске определяет файлы зараженнные trojan.kilAV.ne, при втором запуске не определяет ничего, количество непонятных процессов при этом увеличивается. при проверке cureIt половина исполняемых файлов определяется зараженной win32.sector.4 или trojan.downloader.44920 но после перезагрузки все повторяется по новой.
Последний раз редактировалось MikelPa; 28.01.2008 в 18:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.отключиться от инета, отключить антивирус и антиспай
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\FilialRCon.dll','');
QuarantineFile('WcesWlgn.dll','');
QuarantineFile('C:\WINNT\system32\drivers\.sys','');
QuarantineFile('C:\Temp\winoejlcp.exe','');
TerminateProcessByName('c:\temp\winoejlcp.exe');
QuarantineFile('c:\temp\winoejlcp.exe','');
TerminateProcessByName('c:\winnt\system32\1a241.exe');
QuarantineFile('c:\winnt\system32\1a241.exe','');
DeleteFile('c:\winnt\system32\1a241.exe');
DeleteFile('c:\temp\winoejlcp.exe');
DeleteFile('C:\Temp\winoejlcp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
3.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16990
-
-
@MikelPa
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
не эабудьте обновить Интернет Эксплорер. При таком его состоянии будете у нас постоянным клиентом.
-
-
Junior Member
- Вес репутации
- 60
Вообщето заражены три компьютера в сети логи посылать в этойже теме или открывать новую
-
для каждого компьютера новая тема ...
Добавлено через 18 минут
выполните пункт 2 правил ... обязательно предварительно записав СureIt на CD ...
затем повторите логи ....
Последний раз редактировалось V_Bond; 26.01.2008 в 14:40.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
после выполнения пункта 2 правил
После перезагрузки и проверки CureIt в папке temp файлы win%random%.exe заражены одновременно trojan.downloader.44920 и win32.sector.4
в папке sytem32 файлы %random%.exe около 1000 штук заражены trojan.spambot.2831 либо trojan.spambot.origin
в папке sytem32 файлы %2%-18893.dll либо dl_ 4 штуки заражены win32.sector.4
AVZ не нашел ничего
Последний раз редактировалось MikelPa; 28.01.2008 в 18:23.
-
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\\setup50.exe','');
QuarantineFile('C:\Temp\wineuje.exe','');
QuarantineFile('c:\Temp\aU4y3lGD.sys','');
DeleteFile('c:\Temp\aU4y3lGD.sys');
DeleteFile('C:\Temp\wineuje.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 60
Скрипт выполнил, карантин пустой
-
setup50.exe - попробуйте поискать при помощи авз-сервис - поиск файлов на диске ... если найдется пришлите по правилам ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 60
Setup50.exe нашел через avz поиск в папке с MS outlook и DLL Cashe нтин почемуто он ни вкакую не захотел ни через отправку в карантин ни через удаление с отправкой в карантин поэтому я его просто стер с помощью удаления и чистки следов карантин и логи посылаю
-
Junior Member
- Вес репутации
- 60
Простите промазал с Virus.zip
Последний раз редактировалось MikelPa; 28.01.2008 в 18:15.
-
setup50.exe в папке MS outlook и есть от аутлука зря удалили ....(при том 100% чистый) ...
интересовал более странный C:\Program Files\\setup50.exe ...
Добавлено через 4 минуты
активного заражения не видно .... какие проблемы остались ?
Последний раз редактировалось V_Bond; 26.01.2008 в 21:05.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
и на старуху бывает проруха второго не нашел, извините
Добавлено через 6 минут
Да вроде все с этим. Буду добивать остальные. Спасибо !!!! До встреч в эфире
Последний раз редактировалось MikelPa; 26.01.2008 в 21:12.
Причина: Добавлено