Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 47.

win32.hllp.sector помогите избавиться пожалуйста! (заявка № 5605)

  1. #1
    mack7777
    Guest

    win32.hllp.sector помогите избавиться пожалуйста!

    При запуске некоторых программ в папке систем32 появляется файл wdmfmc32.dl_
    СпайдерГард оределяет его как win32.hllp.sector и исцеляет.
    Если отключить мониторинг, то этот файл превращается в длл, который вылечить невозможно! Далее из временной папки два exe-файла winiwzhlx.exe и winplos.exe поочередно пытаются связаться с http://www.bpfq02.com (72.36.160.202)
    Полное сканирование системы в безопасном режиме ничего не обнаруживает!
    Далее привожу несколько строк из filemonitor:
    1 14:42:12 vfp8.exe:1428 CREATE C:\WINDOWS\system32\wdmfmc32.dl_ SUCCESS Options: OverwriteIf Access: All
    2 14:42:12 vfp8.exe:1428 OPEN C:\WINDOWS\system32\wdmfmc32.dl_+DRWEBINTERNALREQU EST FILE NOT FOUND Options: Open Access: All
    3 14:42:12 vfp8.exe:1428 WRITE C:\WINDOWS\system32\wdmfmc32.dl_ SUCCESS Offset: 0

    Все логи прикреплять как файлы! Admin

    Несколько строк из Анвира:
    14:48:22
    30. winiwrhlx.exe 268 started by explorer.exe c:\temp\winiwrhlx.exe 05/31 14:50:11
    31. winplos.exe 952 started by explorer.exe c:\temp\winplos.exe 05/31 14:50:33
    32. svchost.exe 1252 started by services.exe C:\WINDOWS\system32\svchost.exe -k imgsvc 05/31 15:01:48

    Прилагаю virusinfo_syscheck.zip и hijackthis.log
    Лог пункта 8 получить не удалось, т.к. комп вылетел в BSOD с сообщением об ошибке avz.sys
    Вложения Вложения
    Последний раз редактировалось mack7777; 31.05.2006 в 18:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Или крутой руткит, или незакрытая дыра. В памяти вроде ничего страшного нет. Не знаю, правда, кто такой Teefer for NT. Пришлите для разборок файл \WINDOWS\SYSTEM32\Drivers\Teefer.sys

    Я не помню, какая у вас версия Dr.Web и насколько свежие базы.

  4. #3
    mack7777
    Guest
    Цитата Сообщение от pig
    Или крутой руткит, или незакрытая дыра. В памяти вроде ничего страшного нет. Не знаю, правда, кто такой Teefer for NT. Пришлите для разборок файл \WINDOWS\SYSTEM32\Drivers\Teefer.sys

    Я не помню, какая у вас версия Dr.Web и насколько свежие базы.
    Файл вышлю завтра с утра, версия Dr.Web триальная до 20 июня, базы свежайшие.
    А что за сайт, с которым пытался этот вирус связь наладить?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    @mack7777
    Я не обнаружил в логе Чего-То такого, (что конечно не означает, что ничего Такого у Вас действительно нет ). Если Вам удастся опорожнить все темп-папки в безопасном модусе это было бы уже хорошо. Попробуйте воспользоваться этим для удаления мусора.
    EDIT:
    А что за сайт, с которым пытался этот вирус связь наладить?
    Это не сайт, а тот "умник", кто Вам бэкдора посадил.
    Можете сами здесь проверить.
    @pig
    Пришлите для разборок файл \WINDOWS\SYSTEM32\Drivers\Teefer.sys
    Скачайте себе Sygate PF и получите файл для разборок .
    Последний раз редактировалось Rene-gad; 31.05.2006 в 19:26.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Ключевая фраза - "При запуске некоторых программ ..."
    На вашем компьютере несколько exe-файлов заражены вирусом-паразитом. Так как, Spider с настройками по умолчанию не проверяет запускаемые файлы, вирус в них не обнаружывается.
    Просканируйте все диски сканером DrWeb, не запуская при этом никаких программ.
    И пришлите один из файлов, после запуска которого, появляется та DLL-ка (поменьше размером) так, как указано в Правилах.

  7. #6
    mack7777
    Guest
    Цитата Сообщение от AndreyKa
    Ключевая фраза - "При запуске некоторых программ ..."
    На вашем компьютере несколько exe-файлов заражены вирусом-паразитом. Так как Spider с настройками по умолчанию не проверяет запускаемые файлы вирус в них не обнаружывается.
    Просканируйте все диски сканером DrWeb, не запуская при этом никаких программ.
    И пришлите один из файлов, после запуска которого, появляется та DLL-ка (поменьше размером) так, как указано в Правилах.
    У меня сейчас настройки не дефолтные, проверяются все файлы!
    Диски уже сканировал, как в нормальном режиме, так и в безопасном.
    Результат нулевой.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mack7777
    Диски уже сканировал, как в нормальном режиме, так и в безопасном. Результат нулевой.
    А может Вам какой Онлайн-Сканнер попробовать, Трендмикро или Каспера?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Скорее CureIt нужен и пройтись им в SafeMode, а не полный доктор, судя по описанию червяк душит и Web`a и Kasper`a.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от RiC
    Скорее CureIt нужен и пройтись им в SafeMode, а не полный доктор, судя по описанию червяк душит и Web`a и Kasper`a.
    Я тоже хотел его присоветовать. потом дочитался, что Док уже стоит. Есть ли смысл: ведь тот же движок и те же базы. Хотя, кто его знает.
    Тут вот ещё можно eScan попробовать. Он от Каспера базы использует. Но Free-Version только детектит, не удаляет и не лечит. Хорошо было бы хотя бы узнать, что удалять, а что лечить.
    Последний раз редактировалось Rene-gad; 31.05.2006 в 21:56.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Rene-gad
    Я тоже хотел его присоветовать. потом дочитался, что Док уже стоит. Есть ли смысл: ведь тот же движок и те же базы. Хотя, кто его знает.
    Возможно есть
    В принципе ещё имеет смысл попробывать BitDefender, червяк довольно свежий, файлы кстати портит сильно, возможно нормального лечения и нет ни у кого. Я нашёл несколько попыток вылечить, все в итоге закончились "format c"
    Кстати Online каспера с лечением можно найти здесь, правда Beta и слегка глючноватая.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от mack7777
    А что за сайт, с которым пытался этот вирус связь наладить?
    при заходе на главную страницу выдает ошибку, из которой следует, что имеется папка http://www.bpfq02.com/stats/31-05-06/RU/ .
    там лежат какие-то файлы 10-байтовые. но в большом кол-ве.

  13. #12
    mack7777
    Guest

    Unhappy

    Цитата Сообщение от MOCT
    при заходе на главную страницу выдает ошибку, из которой следует, что имеется папка http://www.bpfq02.com/stats/31-05-06/RU/ .
    там лежат какие-то файлы 10-байтовые. но в большом кол-ве.
    Скачал немного WGet-ом. Похоже на статистику заражений по всему миру. Неплохо развернулся этот гаденыш!
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от mack7777
    У меня сейчас настройки не дефолтные, проверяются все файлы!
    "Все файлы" из вкладки "Типы файлов"? эта опция мало что меняет. А вот включить во вкладке Проверка вариант Режима проверки - Другие- запуск и открытие + создание и запись
    Перезагрузиться (компьютер тормозить будет довольно сильно), запустить проверку всех дисков и не запускать никаких других программ. Во время проверки Spider можно поставить на паузу - для ускорения.

    А один из файлов, после запуска которого, появляется та DLL-ка, все таки, пришлите. Вполне вероятно, что DrWeb еще не знает этот вирус, а детектирует только его вспомогательный модуль (wdmfmc32.dl_).

  15. #14
    mack7777
    Guest

    Angry

    Цитата Сообщение от AndreyKa
    "Все файлы" из вкладки "Типы файлов"? эта опция мало что меняет. А вот включить во вкладке Проверка вариант Режима проверки - Другие- запуск и открытие + создание и запись
    Перезагрузиться (компьютер тормозить будет довольно сильно), запустить проверку всех дисков и не запускать никаких других программ. Во время проверки Spider можно поставить на паузу - для ускорения.

    А один из файлов, после запуска которого, появляется та DLL-ка, все таки, пришлите. Вполне вероятно, что DrWeb еще не знает этот вирус, а детектирует только его вспомогательный модуль (wdmfmc32.dl_).
    У меня именно такие настройки и есть! Заметил еще одну интересную вещь! Сейчас опять провел эксперимент с отключением мониторинга. Экзешников, пытающихся выйти на связь больше не было, но в темп-папке появляются бат файлы anvirdel.bat:
    @echo off
    :try
    del "C:\Program Files\AnVir Task Manager\AnVir.exe"
    if exist "C:\Program Files\AnVir Task Manager\AnVir.exe" goto try
    rmdir "C:\Program Files\AnVir Task Manager"
    del c:\Temp\anvirdel.bat
    и:
    @echo off
    :try
    del "D:\antispy\AnvirSet.exe"
    if exist "D:\antispy\AnvirSet.exe" goto try
    rmdir "D:\antispy"
    del c:\Temp\anvirdel.bat

    Первый удалил этот анвир, а второй появился сразу после его переустановки.
    Посылаю дллку злосчастную, txt файл переименовать в зип, пароль virus,

    Файл сохранён как wdmfmc32dll_447e8d9f09738.zip
    Размер файла 12411
    MD5 2a8166b8de432f0ed7b1d166582b4ac1
    А также логи filemonitora и спайдергада
    Гадский вирус еще и rasman.dll мне заразил. Windows file protection вылез! Ох не кончилось бы все это хреново!
    Вложения Вложения
    Последний раз редактировалось anton_dr; 01.06.2006 в 10:50.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    pls Загружайте файлы через https://virusinfo.info/upload_virus.php

  17. #16
    Geser
    Guest
    dll особо не поможет. Нужен хотя бы один файл зараженный вирусом

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Complete scanning result of "wdmfmc32.dll", received in VirusTotal at 06.01.2006, 08:37:10 (CET).

    Antivirus Version Update Result
    AntiVir 6.34.1.34 06.01.2006 Worm/PoeBot.81408.A
    Authentium 4.93.8 05.31.2006 no virus found
    Avast 4.7.844.0 05.31.2006 no virus found
    AVG 386 05.31.2006 Win32/Sality
    BitDefender 7.2 05.31.2006 Win32.Sality.I
    CAT-QuickHeal 8.00 05.31.2006 Worm.Sality.n
    ClamAV devel-20060426 05.31.2006 no virus found
    DrWeb 4.33 05.31.2006 Win32.HLLP.Sector
    eTrust-InoculateIT 23.72.23 06.01.2006 Win32/Sality.M!DLL!Worm
    eTrust-Vet 12.6.2237 06.01.2006 Win32/Sality.M
    Ewido 3.5 05.31.2006 no virus found
    Fortinet 2.77.0.0 05.31.2006 PossibleThreat!04049
    F-Prot 3.16f 05.31.2006 no virus found
    Ikarus 0.2.65.0 05.31.2006 no virus found
    Kaspersky 4.0.2.24 06.01.2006 Virus.Win32.Sality.n
    McAfee 4774 05.31.2006 W32/Sality.t.dll
    Microsoft 1.1441 06.01.2006 Win32/Sality.L.dll
    NOD32v2 1.1572 06.01.2006 Win32/Sality.N
    Norman 5.90.17 05.31.2006 no virus found
    Panda 9.0.0.4 05.31.2006 W32/Sality.S
    Sophos 4.05.0 05.31.2006 W32/Sality-U
    Symantec 8.0 06.01.2006 W32.HLLP.Sality
    TheHacker 5.9.8.152 05.29.2006 no virus found
    UNA 1.83 05.30.2006 no virus found
    VBA32 3.11.0 05.31.2006 Win32.HLLP.Kuku.DLL.307

    http://www.viruslist.com/ru/viruses/...?virusid=21029
    Технические детали (Virus.Win32.Sality.d)

    Вирус, имеющий шпионский функционал — перехват ввода с клавиатуры (keylogger). Собранную информацию отправляет почтой по протоколу SMTP.

    При старте выбрасывает (drops) в системный или временный каталог свою компоненту SYSLIB32.DLL размером 2615 байт.

    При заражении дописывает себя в начало файла, изменяет имена секций PE заголовка на цифровые, в порядке возрастания.

    Содержит зашифрованные строки:

    Win32.HLLP.Kuku
    <<<<<Hey, Lamer! Say "Bye-bye" to your data! >>>>>
    Copyright (c) by Sector

  19. #18
    mack7777
    Guest
    Цитата Сообщение от Geser
    dll особо не поможет. Нужен хотя бы один файл зараженный вирусом
    Отправил 2 файла, после запкска которых появляется тот длл-файл: filemon.zip и winrar.zip
    Вот как это было, лог файлмонитора:
    Вложения Вложения

  20. #19
    mack7777
    Guest
    Цитата Сообщение от Shu_b
    Complete scanning result of "wdmfmc32.dll", received in VirusTotal at 06.01.2006, 08:37:10 (CET).

    Antivirus Version Update Result

    UNA 1.83 05.30.2006 no virus found
    VBA32 3.11.0 05.31.2006 Win32.HLLP.Kuku.DLL.307

    http://www.viruslist.com/ru/viruses/...?virusid=21029
    Технические детали (Virus.Win32.Sality.d)
    Copyright (c) by Sector
    Все конечно очень интересно, но я и сам это знал! Вопрос: откуда он берется и куда прячется, т.к. всемозможные полные сканировпания системы ничего не находят?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от mack7777
    Все конечно очень интересно, но я и сам это знал! Вопрос: откуда он берется и куда прячется, т.к. всемозможные полные сканировпания системы ничего не находят?
    Вот из за этого:
    Complete scanning result of "Filemon.exe", received in VirusTotal at 06.01.2006, 09:06:35 (CET).

    Antivirus Version Update Result
    AntiVir 6.34.1.34 06.01.2006 W32/Sality.o
    Authentium 4.93.8 05.31.2006 no virus found
    Avast 4.7.844.0 05.31.2006 no virus found
    AVG 386 05.31.2006 Win32/Sality
    BitDefender 7.2 05.31.2006 Win32.Sality.I
    CAT-QuickHeal 8.00 06.01.2006 W32.Sality.O
    ClamAV devel-20060426 05.31.2006 no virus found
    DrWeb 4.33 05.31.2006 no virus found
    eTrust-InoculateIT 23.72.23 06.01.2006 Win32/Sality.M
    eTrust-Vet 12.6.2237 06.01.2006 Win32/Sality.M
    Ewido 3.5 05.31.2006 no virus found
    Fortinet 2.77.0.0 05.31.2006 W32/Sality.O
    F-Prot 3.16f 05.31.2006 no virus found
    Ikarus 0.2.65.0 05.31.2006 no virus found
    Kaspersky 4.0.2.24 06.01.2006 Virus.Win32.Sality.o
    McAfee 4774 05.31.2006 W32/Sality.t
    Microsoft 1.1441 06.01.2006 no virus found
    NOD32v2 1.1572 06.01.2006 no virus found
    Norman 5.90.17 05.31.2006 no virus found
    Panda 9.0.0.4 05.31.2006 W32/Sality.S
    Sophos 4.05.0 05.31.2006 W32/Sality-U
    Symantec 8.0 06.01.2006 no virus found
    TheHacker 5.9.8.152 05.29.2006 no virus found
    UNA 1.83 05.30.2006 no virus found
    VBA32 3.11.0 05.31.2006 Win32.HLLP.Kuku.307
    Файлы отправлены в вирлаб, либо ждите пока добавят либо пользуйтесь альтернативами в виде тех кто видит: KAV, VBA (но возможны варианты с потерей файлов после лечения... так что лучше пробовать на нескольких "некритичных файлах")

  • Уважаемый(ая) mack7777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Win32.HLLP.Sector - заразил всечто можно 8(
      От U_M_A в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:41
    2. Win32.HLLP.Sector.20480
      От Oleg_vlad в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:44
    3. помогите WIN32.HLLP.Sector
      От Earring21 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.06.2008, 15:00
    4. Ответов: 5
      Последнее сообщение: 16.09.2007, 15:52
    5. Вирус Win32.HLLP.Sector и др.
      От Kolobok в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 23.05.2007, 16:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00142 seconds with 20 queries