-
вирус спам-бот?
1. отключился антивирус symantec
2. стали возникатть ошибки различных сервисов, со ссылками на на необнаруженный жесткий диск.
3. в диспетчере задач 2 файла начинающиеся на win****
4. блокируются сайты антивирусных компаний, блокируются AVZ (закрывается, при переименовании зараболтал), cureit (вылетает explorer, на win2003 вылетает в BSOD)
5. на чистом компьютере был проверен жесткий диск антивирусом касперского, найден neur.worm.generiс (файл winampUA в папке winamp)
6. при загрузке с live-cd и запуском через него cureit выдал эти 2 файла как trojan.proxy.3230)
лечение не прошло компьютер так же заражен..
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Последний раз редактировалось Maximus_1982; 20.06.2008 в 17:14.
-
Антивирус надо отключить.
Перечитать Правила. Вам необходимо отключить "Восст. системы"
Затем выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\R1vfEunv.exe','');
QuarantineFile('C:\WINDOWS\system32\fP8EX73e.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\jqjngn.sys','');
TerminateProcessByName('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe');
QuarantineFile('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe','');
TerminateProcessByName('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe');
QuarantineFile('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe','');
DeleteFile('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe');
DeleteFile('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин прислать. Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Последний раз редактировалось Maximus_1982; 20.06.2008 в 17:14.
-
карантин на компьютере пустой.. выслал карантин сервера.. вирус после скрипта на компьютере так же есть
-
Последний раз редактировалось Maximus_1982; 20.06.2008 в 17:14.
-
Сделаем вот так:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\jqjngn.sys','');
SetServiceStart('aic32p', 4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Непонятных процессов теперь не видно.
У Вас еще Бонжур был удален как-то неправильно, надо будет его дочистить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
выполнил.. без изменений практически..
в диспетчере процессов в AVZ виден wmiprvse.exe, однако теперь dll он не использует..
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709E A-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe
-
Давай карантин после посл. скрипта. Файлики надо проверить.
Сам процесс твой вполне легитимный.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
HKEY_CURRENT_USER\Software\имя914
в реестре такая вот запись и там многоооо чего.. похоже на win32.sality?
Добавлено через 1 минуту
прикрепить логи не дает - зависает, перезагружаюсь - детекируются те же файлы.. еще в безопаснике не грузится..
Последний раз редактировалось Maximus_1982; 07.06.2008 в 12:35.
Причина: Добавлено
-
Сделай полную проверку Куреитом, записав его на чистой машине на болванку.
Тогда подозрения насчет Салити м.б. отметуться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
согласно рекомендациям symantec по удалению w32.Sality.ae
вот такое вот есть..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List
записи типа
C:\DOCUME~1\ЮЗЕР\LOCALS~1\Temp\winteow.exe:Enabled:ipsec
с прочие процессы винды
cureit нашел в памяти trojan.proxy.3230 и Возможно BACKDOOR.trojan (сначала в памяти, затем при сканировании дисков)
Добавлено через 51 минуту
в папке temp файлы появляются только при работе в интернете.. без сети чисто.. но ошибки случайного процесса выдаются все равно ..
Добавлено через 2 часа 22 минуты
вобщем похоже всему виной установленный на сервере sp2 и еще около 35-40 апдейтов.. после этого все и началось.. прогоняю куреит на серваке.. однако долго..
Последний раз редактировалось Maximus_1982; 07.06.2008 в 17:59.
Причина: Добавлено
-
принес флешку с записанными на ней avz, cureit и hijackthis.. drweb выдал модификация win32.sector.5..
-
Куда принес? На сервер или с сервера?
Лучше бы ты две темы завел на разные машины.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
Maximus_1982
drweb выдал модификация win32.sector.5..
Мда... Модификация - это плохо. Образцы:
1. пришлите по правилам
2. отправьте в вирлаб Доктора: http://support.drweb.com/sendnew/
Обязательно укажите, что дикорастущие
-
-
принес с сервера домой.. вобщем дрвеб лечит.. теперь возникла проблема.. как восстановить записи реестра чтобы компьютер загрузить в безопасном режиме т сделать полную проверку..
-
Вот так
Код:
begin
ExecuteRepair(10 );
RebootWindows(true);
end.
-
-
восстановить вход в безопасник не удается.. в простом режиме вроде бы вылечил, перегрузился установил дрвеб.. перегрузился.. дрвеб стал кричать все время на вирус.. сеть в конторе встала.. выключил всех от сети чтобы не расползлось.. заражение порядка 60 машин процентов 50-70.. ..
выход грузиться с лайв-сд и из под него чистить???
-
Да, LiveCD - это лучше. По крайней мере, активный зверь в памяти отсутствует, поэтому не размножается.
-
-
загрузился с лайв_сд.. написано все вылечено.. поставил дрвеб без сети с диска.. опять заражение.. дрвеб теперь сам себя умудряется "вылечить".. все признаки заражения.. в ходе проверок компов найдуны bulknet и click.. как вирус проникает на компы??? может какой порт заблочить..