Показано с 1 по 19 из 19.

Спасите компьютер от вирусов (заявка № 39473)

  1. #1
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58

    Cool Спасите компьютер от вирусов

    Спасите компьютер от вирусов
    На сервере найден вредоносный файл reader_s.exe, его удалить удалось, но комп не запускает большинство сервисов, в частности блокирована работа с локальной сетью

    Закачал карантин
    Файл сохранён как 090211_122039_virusinfo_cure_49929867a5c42.zip
    Размер файла 134685
    MD5 ab3bf6cb7667457aea2b33000528a20b
    Последний раз редактировалось Mr_Kiss; 09.03.2009 в 15:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    reader_sl.exe- это от Adobe Reader...

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);    
    SetAVZGuardStatus(True);
     QuarantineFile('\SystemRoot\System32\Drivers\RDPWD.SYS','');
     QuarantineFile('C:\Documents and Settings\d.korchagin\driver.sys','');
     DelBHO('{469C7F34-476F-43A4-A8EC-39FFB42D4EB9}');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\jgnlib.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\jgnlib.dll');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    BC_QrSvc('botdrv');    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    reader_s.exe без буквы L, при поиске по инету новый вирь типа trojan.win32.invader или как-то так
    файл №1 в присланом выше карантине syscure.zip

    SystemRoot\System32\Drivers\RDPWD.SYS - драйвер подписаный майкрософтом, видимо заражен
    Последний раз редактировалось Mr_Kiss; 11.02.2009 в 12:43.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Делайте скрипт, затем новые логи...

  6. #5
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Сделал
    Последний раз редактировалось Mr_Kiss; 09.03.2009 в 15:17.

  7. #6
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Файл сохранён как 090211_131025_virusinfo_cure_4992a41124a70.zip
    Размер файла 337995
    MD5 2549c9ceb9fc96e2389074f79dea0b5f

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    RDPWD.SYS-это нормальный файл..

    Пришлите этот файл driver.sys согласно приложению 2 правил...

  9. #8
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Цитата Сообщение от Гриша Посмотреть сообщение
    Пришлите этот файл driver.sys согласно приложению 2 правил...
    Не могу прислать карантин, так как AVZ дает ошибку
    при поиске файловыми менеджерами, этого файла нет
    есть записи в реестре...

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('botdrv');
     DeleteFile('C:\Documents and Settings\d.korchagin\driver.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('botdrv');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите пункт 2 диагностики...

  11. #10
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    мне очень не нравится такая подозрительная старока в логе
    C:\Documents and Settings\d.korchagin\WINDOWS\system32\smss.exe Подозрение на RootKit

    Насколько это нормально ?
    Последний раз редактировалось Mr_Kiss; 09.03.2009 в 15:17.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Это нормально для серверной ОС, в логе чисто...

  13. #12
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Что чисто это хорошо, но какая сволочь не зает зарускать сервис WorkStation...

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808

  15. #14
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    KidoKiller ничего не нашел...

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    В system32\drivers посмотрите файл ndis.sys. Если такой окажется - пришлите согласно правилам. Если такого не будет - нужно будет восстановить его с диска установки ОС.
    anti-malware.ru

  17. #16
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Файл отсутствует...
    версия винды 5.2.3790 при подсовывании файла ndis.sys такой же версии, сервис workstation запускается до перезагрузки, после этого винда уходит в постоянный ребут
    на форуме была ссылка на файл версии 5.1.2600 но эффект тот же...

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    При загрузке windows нажмите F8 и выберите "отключить автоматическую перезагрузку при отказе системы". Затем, как система упадет в BSOD будет создан минидамп (%SystemRoot%\Minidump) - его прикрепите к теме в архиве.
    Также попробуйте загрузится с последней удачной конфигурации или в безопасном режиме. BSOD также наблюдается?
    anti-malware.ru

  19. #18
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Спасибо уже всё решили, после накатывания поверх Win2003 с SP2 начали работать большая часть сервисов, но остались проблемы с NetLogon
    после ресета TCP/IP и WinSocks проблемы ушли

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\all users\application data\jgnlib.dll - Trojan-Ransom.Win32.Hexzone.agg
      2. c:\windows\services.exe - Email-Worm.Win32.Joleee.gq (DrWEB: Trojan.Spambot.3531)
      3. c:\windows\system32\reader_s.exe - Trojan-Downloader.Win32.FraudLoad.dlv (DrWEB: Trojan.Packed.2352)


  • Уважаемый(ая) Mr_Kiss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Спасите мой компьютер после разблокировки
      От galja777 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.09.2011, 15:24
    2. спасите от нашествия вирусов
      От rhapsody в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.07.2011, 17:21
    3. Компьютер как рассадник вирусов
      От Whale в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 17.08.2009, 22:00
    4. Куча Вирусов...спасите!!:)
      От giggs в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 22.02.2009, 04:28
    5. Помогите, спасите от вирусов.
      От Predator75 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.02.2009, 15:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00632 seconds with 19 queries