-
Целый букет заразы
нод определил следущие разновидности зверей
wigon.ck
TrojanDownloader.FakeAlert.DJ
PSWChill.B
Statik
TrojanDownloader.Tiny.NJ
а AVZ нашел
Zbot.cns
mutant.aib
мутант и збот в карантине есть + еще чтото непонятное там есть
если надо могу выслать
да кстати, негрузиться вирустотал, сайт нода, другие не пробовал, может и они не грузяться
пропали закладки в свойствах экрана, (это помоему в логох должно написано быть)
Последний раз редактировалось Hanson; 05.08.2008 в 11:10.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\system32\blphctw4j0e77c.scr','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ouy38.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Ouy38.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ouy38');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25564
Повтрите логи.
-
Файл сохранён как 080630_050913_virus_4868b0c9c3e90.zip
Размер файла 202786
MD5 92b8d5aef0d932fe1dd086c6013decf7
-
-
Trojan-Spy.Win32.BZub.eao - C:\WINDOWS\system32\ipv6monl.dll
Trojan-Downloader.Win32.Mutant.aij - C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\iexplorer.exe мало кто знает.
ни одного экземпляра вот этого ты не заслал - PSWChill.B
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Trojan-Spy.Win32.BZub.eao - C:\WINDOWS\system32\ipv6monl.dll
Trojan-Downloader.Win32.Mutant.aij - C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\iexplorer.exe мало кто знает.
ни одного экземпляра вот этого ты не заслал - PSWChill.B
этих вроде как нод прибивал, они в его карантине, если надо могу пристать и его
кстати WinCtrl32.dll выжил после скрипта, + видимо создал winns84
добил через айсворд и скриптом
теперь вроде нет его(покрайней мере рансканер непоказывает)
Добавлено через 4 минуты
кстати тут еще есть файлик Midisyn.sys
разве это не вирус??
а еще такой появился , вроде тож странный
C:\WINDOWS\System32\drivers\runtime.sys
Последний раз редактировалось Hanson; 30.06.2008 в 14:49.
Причина: Добавлено
-
-
Мы ж новых логов не видим, поэтому не знаем выжил WinCtrl32.dll или нет. Там еще его бэкар может болтаться с таким же именем.
Давай этого Midisyn.sys через карантин на анализ. Желательно его одного.
Логи новые надо сделать, чтобы посмотреть что выжило.
Добавлено через 1 минуту
C:\WINDOWS\System32\drivers\runtime2.sys - известная штучка.
Логи делай, добъем зверя.
Последний раз редактировалось PavelA; 30.06.2008 в 14:49.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
ошибка карантина
логи уже делаю
-
-
ну вот свежие логи.
карантин нода слать?
Последний раз редактировалось Hanson; 05.08.2008 в 11:10.
-
-
постоянно хост забивается чемто, после каждой перезагрузки
-
-
Вот еще один попался:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин и снова делать логи.
runtime2.sys в логах не увидел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
C:\WINDOWS\System32\drivers\runtime.sys
у меня рансканер показывает его красным, а в логах и правда невидно его
а что насчет C:\WINDOWS\System32\drivers\midisyn.sys
Добавлено через 4 минуты
карантин пуст
Последний раз редактировалось Hanson; 30.06.2008 в 15:40.
Причина: Добавлено
-
-
Последний раз редактировалось Hanson; 05.08.2008 в 11:10.
-
-
C:\WINDOWS\system32\blphctw4j0e77c.scr в реестре и в ини файле
C:\WINDOWS\system32\msnmod.exe
C:\Program Files\MDPREI\mpki\mpkishex.dll, вот этот странный
вот что я нашел
и по этому тож вопрос еще C:\WINDOWS\system32\drivers\MidiSyn.sys
-
-
Для остатков runtime сделаю скрипт. Это довольно старенькое зло с хорошо известным составом.
Добавлено через 1 минуту
C:\WINDOWS\system32\blphctw4j0e77c.scr - шутка от sysinternals (screensaver s BSOD)
Последний раз редактировалось PavelA; 30.06.2008 в 16:13.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
тоесть его надо удалять???
Добавлено через 20 минут
есть еще проблемы
в Host постоянно прописыфвается ерунда всякая
и в свойствах экрана нет закладок некоторых
Последний раз редактировалось Hanson; 30.06.2008 в 16:36.
Причина: Добавлено
-
-
Лови лечилку для экрана:
http://www.kellys-korner-xp.com/regs...desktoptab.reg
Я думал, что в hosts это твое
Попробуй:
Код:
begin
Clearhostsfile;
end.
После перезагрузки посмотри появится заново ерунда эта или нет.
Последний раз редактировалось PavelA; 30.06.2008 в 16:56.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
ожил
и хост' ик чистый теперь
Последний раз редактировалось Hanson; 30.06.2008 в 17:01.
-
-
На том сайте много полезного есть. Только использовать надо аккуратно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
у меня остались только вопросы к system32\drivers\MidiSyn.sys
вот сдесь его удаляют http://virusinfo.info/showthread.php?p=233589
Добавлено через 1 минуту
Сообщение от
PavelA
На том сайте много полезного есть. Только использовать надо аккуратно.
вот на этом ?? http://www.kellys-korner-xp.com
Последний раз редактировалось Hanson; 30.06.2008 в 17:04.
Причина: Добавлено
-
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-