-
Junior Member
- Вес репутации
- 63
Win32.HLLW.Medbod.69
Доброго времени суток.
пару дней назад началось интересное: раз в 1-1,5 часа Доктор ругается на файлы с именем типа 13exhmunmlcl24.exe.
Путь к файлам и диагноз Доктора следующие:
29-06-2008 13:17:17 [CL] C:\Documents and Settings\Admin\Local Settings\Temp\13exhmunmlcl24.exe - инфицирован Win32.HLLW.Medbod.69
После удаления Доктором этого файла через некоторое время он появляется там же но под другим именем, например
29-06-2008 10:17:07 [CL] C:\Documents and Settings\Admin\Local Settings\Temp\0exhmunmlcl24.exe - инфицирован Win32.HLLW.Medbod.69
По логике - на комп попала гадость, плодящая эти файлы и пока невидимая Доктору.
После прогона первого скрипта и перезагрузки, после старта системы аутпост выдал окно, что процесс svmss пытается изменить процесс svchost. Я выбрал запретить.
Файлы прилагаю. Заранее спасибо.
Последний раз редактировалось Лангольер; 03.09.2008 в 13:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system\smvss.exe','');
DeleteFile('C:\WINDOWS\system\smvss.exe');
DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25514).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
запаковал svmss из карантина и закачал.
Результат загрузки
Файл сохранён как080629_042059_virus_486753fb6fe06.zipРазмер файла35017MD5ea62b5474881b6c2372f3f905e802f7eФайл закачан, спасибо!
сейчас сделаю логи
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось Лангольер; 03.09.2008 в 13:13.
-
smvss.exe - свежий троянчик.
В логах чисто.
Какие-то проблемы остались?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
пока тихо)
кстати, начал в голове отматывать назад историю до появления вируса и вспомнил, что он первый раз дал себя знать после того, как я скачал exeшник для запуска игры Сталкер без CD и, подменив оригинальный файл, запустил игру. После этого проверил этот exeшник на Вирустотале - ругнулся только Webwasher своим эвристиком.
Сейчас попробую запустить сталкера, и, если проблема там, снесу его к черту и снова обращусь за помощью)))
Добавлено через 11 минут
smvss.exe не видать.
Спасибо большое.
P.S. Bratez, а старая аватарка была лучше
Последний раз редактировалось Лангольер; 29.06.2008 в 14:12.
Причина: Добавлено