Показано с 1 по 8 из 8.

Exploit.Win32.MS05-013.d (заявка № 6950)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2006
    Сообщений
    3
    Вес репутации
    64

    Question Exploit.Win32.MS05-013.d

    Обращаюсь к вам со следующей проблемой. AVP Монитор обнаружил на моем компьютере два вируса:
    Exploit.Win32.MS05-013.gen
    Exploit.Win32.MS05-013.d
    Расположение обоих было в папке C:/Windows/TEMP/ в каких-то HTML файлах со словом Script в названии. После удаления этих файлов первый из вирусов перестал появляться, а второй (Exploit.Win32.MS05-013.d) все равно обнаруживался монитором по тому же адресу и был активен - время от времени пытался загружать иформацию с множества разных порносайтов. Однако по указанному адресу (C:/Windows/TEMP/) больше никаких HTML файлов не было! Через некоторое время стал определяться монитором и первый из вирусов.
    Запущенный AVP Scanner ни одного вируса не обнаружил, хотя даже во время его работы AVP Монитор продолжал выдавать предупреждения. Попытка удалить зараженный файл AVP Монитором приводила к сообщению: удалить не удалось (ошибка ввода/вывода).
    И что теперь делать?
    У меня стоит Windows XP SP2. Все обновления регулярно загружаю. Базу AVP версия 4.5.0.48 обновляю ежедневно.
    Согласно вашей инструкции проверил компьютер программами AVZ и HijackThis.
    Во время проверки AVZ монитор выдавал сообщения о еще каких-то вирусах (вроде бы, типа Worm) во временных файлах, создаваемых этой программой, и, в соответствии с настройками, грохал эти файлы.
    Логи прикрепляю в общем архиве virus.zip
    С уважением,
    Андрей Колганов
    Вложения Вложения
    Последний раз редактировалось Shu_b; 29.11.2006 в 21:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    АВЗ->Файл->Выполнить скрипт
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\ezspp.dll','');
     QuarantineFile('C:\WINDOWS\system32\hsppp.dll','');
     QuarantineFile('C:\WINDOWS\system32\SHIMGVW.DLL','');
     QuarantineFile('C:\Program Files\stickies\stickies.exe','');
     QuarantineFile('DTMONX.EXE','');
     QuarantineFile('C:\Program Files\WinPoET Broadband Connection\WrOS.EXE','');
     QuarantineFile('C:\Program Files\WinPoET Broadband Connection\WrOSControl.dll','');
     QuarantineFile('C:\Program Files\WinPoET Broadband Connection\WrInterfaceManager.dll','');
     QuarantineFile('C:\Program Files\WinPoET Broadband Connection\WrEventLog.dll','');
     QuarantineFile('C:\Program Files\WinPoET Broadband Connection\WrConfig.dll','');
     QuarantineFile('C:\Program Files\WinPoET Broadband Connection\Wr_Mac_Frames.DLL','');
     QuarantineFile('C:\Program Files\stickies\shook40.dll','');
     QuarantineFile('C:\Program Files\iTunes\iTunesHelper.Resources\iTunesHelper.DLL','');
     QuarantineFile('C:\Program Files\iTunes\iTunesHelper.Resources\en.lproj\iTunesHelperLocalized.DLL','');
     QuarantineFile('C:\Program Files\iPod\bin\iPodService.Resources\iPodService.DLL','');
     QuarantineFile('C:\Program Files\iPod\bin\iPodService.Resources\en.lproj\iPodServiceLocalized.DLL','');
     QuarantineFile('c:\program files\winpoet broadband connection\wros.exe','');
    end.
    Файлы из карантина прислать по правилам.

  4. #3
    Geser
    Guest
    Пофиксить строки
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-611111193429} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    O16 - DPF: {43331111-1111-1111-1111-611111195622} -

    Это если сами не заносили в доверенные тоже пофиксить:
    O15 - Trusted Zone: http://secure.gestrip.com (HKLM)
    O15 - Trusted Zone: http://update.randhi.com (HKLM)

  5. #4
    Junior Member Репутация
    Регистрация
    29.11.2006
    Сообщений
    3
    Вес репутации
    64
    Спасибо, ваши инструкции выполнил. Однако никакими усилиями не смог отправить в карантин файл C:\WINDOWS\system32\shimgvw.dll
    Поэтому отправляю его отдельным архивом - вложением к данному сообщению.
    Кроме того, объясните чайнику, какую точную последовательность действий подразумевает термин "пофиксить"?
    С уважением,
    Андрей
    Последний раз редактировалось anton_dr; 01.12.2006 в 09:34.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    А если внимательно мою подпись прочитать

  7. #6
    Geser
    Guest
    DTMONX.EXE этот файл не плохо бы поискать по системному диску. Он не добавился

  8. #7
    Junior Member Репутация
    Регистрация
    29.11.2006
    Сообщений
    3
    Вес репутации
    64
    Спасибо, все понял и "пофиксил".
    Файл dtmon.exe высылаю в вложенном архиве virus_2.zip
    С уважением,
    Андрей
    Последний раз редактировалось Shu_b; 02.12.2006 в 00:17.

  9. #8
    Geser
    Guest
    В общем не знаю. Я ничего интересного не нашел. Может кто-то еще посмотрит и напишет что-то интересное. Могу посоветовать скачать курит ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe и проверить им все диски. Вдруг да найдётся что-то. НА время проверки рекомендую отключиться от интернета и выключить монитор АВП.

  • Уважаемый(ая) Andrei_K, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 22
      Последнее сообщение: 06.12.2011, 21:15
    2. Троян Exploit.Win32.Pidief.ast
      От slider09 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.07.2009, 17:37
    3. Ответов: 13
      Последнее сообщение: 13.09.2006, 14:14
    4. MS05-51 - Win32.HLLW.Dasher
      От Shu_b в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 16.12.2005, 18:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01372 seconds with 20 queries