Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

W32.Rontokbro@mm или win32/brontok (заявка № 22538)

  1. #1
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59

    Thumbs up W32.Rontokbro@mm или win32/brontok

    У меня возникла проблемка!
    Подключил к новому компу старый хард на него тут же залетел вирис, у меня стоят 2 антивируса NOD32 b NAV! оба антивируса пишут что вирус сидит в c:\\windows\temp папке! смотрю туда там сидит файл tmp36.tmp, только цифры в этом файле меняются каждую секунду..... я с дуру вообще удалил папку TEMP, теперь папки воббще нету а антивирусы все равно пишут что в ней вирус.... я полазил по инету у всех этот вирус проявляет себя по свойму...
    помогите его победить, а то мои антивирусы верещат о том что комп заражен, а сделать нечего не могут...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Правила еще никто не отменял

  4. #3
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    извините что вчера не сделал логи и без них отписался...
    значит так, еще раз попорядку!
    антивирусы говорят что в папке TEMP сидит одноименный вирус W32.Rontokbro@mm или win32/brontok!
    Потом, они оба пишут, что зараженный файл удален и тут же выскакивает окно, что появился новый вирус, но с немного измененным названием!
    я залез в папку TEMP, зажал F5, этот файл меняет название каждую секунду по нарастающей от tmpAB.tmp до какокого-нибудь tmp99BW.tmp использую все буквы и цифры! думаю что он себя переписывает так как NAV автоматически удаляет этот файл.
    я удалил папку TEMP воощше, но это не помогло, изменилось только то что теперь я ее не вижу, но комп пишет что она все еще есть!
    сделал по вашему описанию правил все как написанно!
    Dr.WEB нашел несколько вирусов с одинаковым названием Win32HLLM.Generic.400 (на сколько понимаю это тот же вирус), по ондному в карантине каждого антивируса и 6 в папке TEMP.
    еще такая штука в процезах появился такая штука как taskmgr.exe по смотрел в инете пишет что это как раз этот червь и есть, если попробовать завершить этот процес, то диспетчер сам закрывается, а когда вызываешь его сново, то этот процес уже запущен снова!
    если отключить антивирусы то все работает все вроде путем, но если их включить се начинает ужасно лагать...а комп нужен позарез у меня на нем курсовая которую нужно сдать в течении 4 дней, а там еще работать и работь....
    буду ужасно благодарен за любую помощь!
    система у меня WIN XP
    антивирусы NOD32 и Norton AntiVirus 2004
    Вложения Вложения
    Последний раз редактировалось padlio; 07.05.2008 в 16:12.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. В логах криминала не обнаружено
    2. 2 Антивируса - это через чур. Зачастую они видят вирус в соседствующем антивирусе.
    3. Папок ТЕМП в Виндовс много . Очистите их все: http://virusinfo.info/showthread.php?t=10025

  6. #5
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    сделал что вы сказали!
    судя по антивирусу он в директории c:\\windows\temp хотя я ее вообще не вижу.
    посоветуйте плз, какой из антивирусов оставить, или поставить какой-то другой.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от padlio Посмотреть сообщение
    посоветуйте плз, какой из антивирусов оставить, или поставить какой-то другой.
    Какой меньше систему грузит - тот и оставьте

  8. #7
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    предложенная вами процедура не помогла...(
    этот червь никуда не делся...(
    еще такая интересная вещь, что видят они червя только когда включен NAV, если же его отключить, то NOD32 ничего не находит...
    посоветуйте пожалуста еще какой-нибудь метод или заплатку! я готов пойти почти на любые меры!
    Последний раз редактировалось padlio; 07.05.2008 в 21:12.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от padlio Посмотреть сообщение
    видят они червя
    Кто "они"?
    Вы меня наверное недопоняли (или я - Вас) : Вы должны не пользоваться антивирусами вперемежку, а один из них полностью удалить , оставшимся проверить ПК в безопасном режиме.

  10. #9
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    сделал как вы сказали! удалил NOD32...
    как только запускается комп сразу высвечивается предупреждение от NAV что в выше упомянутой папке TEMP сидит этот файл и что он был успешно удален,нажимаю ОК тут же вылетает окно с тем же самым уведомлением только у файла другой номер! и так можно жать ОК до бесконечности....(

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    давайте новые логи. Не забудьте на время выполнения логов:
    - отключить Нортона
    - отключить системное восстановление

  12. #11
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    все сделал!
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    таже самая история.. как только включил нортона, он сразу увидил червя...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от padlio Посмотреть сообщение
    таже самая история.. как только включил нортона, он сразу увидил червя...
    Логи завидно чисты
    Давайте на этот файл посмотрим
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\r6.cmd','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После ребута закачайте карантин по правилам.
    Если Вам этот файл лично известен, то можете скрипт не выполнять, просто отпишитесь тут.
    И еще вопрос: Эта петрушка началсь после установки СП3 или еще до того?

  15. #14
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    Этот файл мне известен, ито маршрутизатор в моей локальной сети...
    Эта пертушка начилась, после того как я на новый ПК решил подсоединить хард от староко ПК, чтоб перелить информацию...


    У меня началась полная ахинея, NAV перестал автоматически как раньше находить вирус и теперь молчит, зато теперь в процессах прописался WINWORD.EXE который жрет 24 400 кб памяти, и когда я работаю в текстовых редакторах, общается со мной.... правдва пишет всякую чушь типа "зря я вчера сморкалась" или "праздники кончились"...
    Я вообще в шоке!

    Добавлено через 8 минут

    ещ такая штука! у меня начал трафик в инете сам по себе жратся, даже когда ничего не делаю....
    Последний раз редактировалось padlio; 08.05.2008 в 14:49. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    полная паранойя: Сделайте АВЗ-лог syscheck (стандартный скрипт 2) с запущенным Вордом. М.б. АВЗ там сточку типа testtesttest... напишет - это нормально, не пугайтесь Лог закачайте.

  17. #16
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    все сделал, как вы и сказали в ворде написало много раз test.
    перед этим еще раз проверил в безопасном режиме систему Dr.Webом и он удалил из карантита NAV 1540 файлов определив их как Win32.HLLM.Generic.440
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    когда делал первый скрипт забыл выключить NAV...
    вот второй с выключенным.
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от padlio
    Dr.WEB нашел несколько вирусов с одинаковым названием Win32HLLM.Generic.400
    Ничего похожего в классификации DrWeb нет.

    Добавлено через 11 минут

    Ошибочка. Есть Win32.HLLM.Generic.400, это его тут:
    http://info.drweb.com/search/?q=Win3...earchin=virlib
    почему-то нет.
    Последний раз редактировалось AndreyKa; 08.05.2008 в 16:04. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    06.05.2008
    Сообщений
    21
    Вес репутации
    59
    теперь он мне даже на форуме писать не дает... гадит весь текс...
    причем даже в безопасном режиме не дает писать...

    Добавлено через 1 минуту

    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Ничего похожего в классификации DrWeb нет.

    Добавлено через 11 минут

    Ошибочка. Есть Win32.HLLM.Generic.400, это его тут:
    http://info.drweb.com/search/?q=Win3...earchin=virlib
    почему-то нет.
    потому что не 400 а 440

    Добавлено через 3 минуты

    теперь он взял под свой контроль и мыш!))
    Последний раз редактировалось padlio; 08.05.2008 в 16:14. Причина: Добавлено

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    теперь он взял под свой контроль и мыш!))
    Сорри, но логи никаких аномалий не показывают.
    Цитата Сообщение от padlio Посмотреть сообщение
    Подключил к новому компу старый хард .... оба антивируса пишут что вирус сидит в c:\\windows\temp папке!
    Вопрос по теме: C: - это системный раздел нового компа?

  • Уважаемый(ая) padlio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32/Brontok.T червь
      От prowler в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.12.2009, 19:05
    2. Win32/Brontok.AQ червь
      От Простывший в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.11.2009, 23:44
    3. троян Win32/Brontok.BL
      От coolant в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:27
    4. Вирус Win32:Brontok-CE [Wrm]
      От loveSKY в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:38
    5. W32.Rontokbro.K@mm
      От dwolfb в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.10.2008, 16:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00109 seconds with 20 queries