Показано с 1 по 13 из 13.

маил вара поймал (заявка № 24556)

  1. #1
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    66
    Вес репутации
    36

    Exclamation маил вара поймал

    Собственно сабж. Архив с вирусом сейчас прикреплю.

    Еще такой вопрос:
    Фаирвол около месяца не регистрирует никаких атак, нетбиос запросов и вообще не видит никакой сетевой активности кроме своих программ, работающих через интернет (браузер, обновления и тд.). Это нормально? Пробовал ставить другую версию этого же фаирвола (Outpost), ставил другие фаирволы, везде тоже самое.

    Прикрепил вирусный архив.
    Последний раз редактировалось denison; 19.08.2008 в 02:49.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
     QuarantineFile('C:\Documents and Settings\ь.ъъъ.ь\Application Data\Mozilla\Firefox\Profiles\r85w5c7d.default\extensions\firebit@firebit\components\firebit.dll','');
     DeleteFile('C:\Documents and Settings\ь.ъъъ.ь\Application Data\Mozilla\Firefox\Profiles\r85w5c7d.default\extensions\firebit@firebit\components\firebit.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24556 ).

    Вот это Вам знакомо?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
    O17 - HKLM\System\CS1\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
    O17 - HKLM\System\CS2\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
    O17 - HKLM\System\CS3\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
    Если незнакомо, то пофиксите эти строчки в в HijackThis.

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    c:\windows\system32\nwprovau.dll- Пришли по второму пункту правил копию, и не надо к теме ничего кроме логов прикреплять.

  5. #4
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    66
    Вес репутации
    36
    Цитата Сообщение от kps Посмотреть сообщение
    Выполните скрипт в AVZ:
    Код:
    ...
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил
    Готово.

    Вот это Вам знакомо?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
    O17 - HKLM\System\CS1\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
    O17 - HKLM\System\CS2\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
    O17 - HKLM\System\CS3\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
    Если незнакомо, то пофиксите эти строчки в в HijackThis.
    10.0.0.45 - DNS сервер мой. Фиксить?
    Вложения Вложения
    Последний раз редактировалось denison; 19.08.2008 в 02:49.

  6. #5
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    66
    Вес репутации
    36
    Цитата Сообщение от drongo Посмотреть сообщение
    c:\windows\system32\nwprovau.dll- Пришли по второму пункту правил копию, и не надо к теме ничего кроме логов прикреплять.
    Добавил, но в карантине ничего не прибавилось, возможно он там уже есть.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    firebit.dll - > not-a-virus:AdWare.Win32.Kitsune.b
    больше фаербит не ставьте, это гадость.

  8. #7
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    66
    Вес репутации
    36
    Цитата Сообщение от drongo Посмотреть сообщение
    firebit.dll - > not-a-virus:AdWare.Win32.Kitsune.b
    больше фаербит не ставьте, это гадость.
    Загрузчик для letitbit.net? Давно знаю об этом, не ставил. Чудеса просто какие то.

  9. #8
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    66
    Вес репутации
    36
    Все?
    Код:
    spdj.sys
    afw.sys
    SandBox.sys
    по прежнему находит.
    Логи выложу через 3 минуты, предыдущие не дают загрузить, удалю их.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    66
    Вес репутации
    36
    Вот остальное, "virusinfo_syscure" не могу выложить, ругается даже если переименовать, говорит что уже есть такой архив в теме.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Hу так, а как же? Мы же их не удаляли. Не всё что находит avz нужно удалять, об этом ясно написано. Что удалять решает хелпер
    это от ваших программ защиты(afw.sys ,
    SandBox.sys -оутпост) и эмулятора дисков.( spdj.sys & co)

    На вашем месте я бы прошёлся куритом, поставил ограниченного пользователя и конечно не забывать что есть noscript
    Больше ничего интересного не видно.
    Последний раз редактировалось drongo; 13.06.2008 в 21:54.

  12. #11
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    66
    Вес репутации
    36
    ]На вашем месте я бы поставил ограниченного пользователя
    Так админскую учетку все равно взломать могут и параллельно с моей ограниченной сессией дел натворить, так я хоть вижу что у меня происходит (1 учетка админская, остальное выключено).

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Цитата Сообщение от denison Посмотреть сообщение
    Так админскую учетку все равно взломать могут и параллельно с моей ограниченной сессией дел натворить, так я хоть вижу что у меня происходит (1 учетка админская, остальное выключено).
    ваши логи говорят об обратном

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,533
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\ь.ъъъ.ь\\application data\\mozilla\\firefox\\profiles\\r85w5c7d.default \\extensions\\firebit@firebit\\components\\firebit .dll - not-a-virus:AdWare.Win32.Kitsune.b (DrWEB: Trojan.BitAcc.4)


  • Уважаемый(ая) denison, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Что-то украло пароль маил ру
      От moov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.10.2011, 15:18
    2. Подозрение на наличие вируса
      От zuza в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 24.07.2010, 16:49
    3. Опасения на наличие вирусов
      От stass в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.10.2009, 22:33
    4. Ответов: 1
      Последнее сообщение: 10.03.2009, 19:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00545 seconds with 22 queries