Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Многочисленные симптомы заражения (заявка № 7391)

  1. #1
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64

    Thumbs up Многочисленные симптомы заражения

    Доброй поры суток.
    Сразу по сути: компъютер не был подключён к инету около 2х недель. (до этого имел постоянное подключение, но признаков заражения не подавал). сегодня подключил.
    появились сразу же такие "неполадки":
    - постоянный входящий и исходящий траффик, хотя на данный момент никаких процессов моих с возможными автоапдейтами и т.д. не запущено.
    - процессы время от времени забивают всю оперативную память. (все процессы без исключения занимают от 30 и выше мб оперативки)
    - пропали иконки на многих *.ехе файлах. вместо свойственны им иконок - иконки как в системных или дос файлах. эти *.ехе файлы не запускаются.
    - временами рабчий стол просто "умирает". никаких действий с ним сделать нельзя. хотя и "пуск" и и "квик ланч" работают.

    др.веб ничего не находит.
    прикрепил логи по инструкции.
    жду Ваших консультаций. спасибо.

    З.Ы. вот после проверки авз и хайджетом симптомы вроде бы ищезли. но мало ли.
    Последний раз редактировалось Art; 22.03.2007 в 00:43.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    AVZ - выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ToolBand.dll','');
     QuarantineFile('C:\WINDOWS\system32\MSNChatHook.dll','' );
     QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
     QuarantineFile('C:\WINDOWS\system32\ToolBand.dll','');
     QuarantineFile('C:\Windows\RUNXMLPL.exe','');
     QuarantineFile('C:\WINDOWS\ctfmon32.dll','');
     QuarantineFile('c:\windows\service32.exe','');
     QuarantineFile('C:\WINDOWS\uninstall\rundl132.exe','');
     QuarantineFile('C:\WINDOWS\system32\sysenv.dll','');
    RebootWindows(true);
    end.
    компьютер перегрузиться сам .
    содержимое карантина из AVZ прислать в соответствии приложения 2 правил с пункта 5
    Последний раз редактировалось drongo; 06.01.2007 в 22:08.

  4. #3
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64
    траффик продолжает уплывать и приходить.
    можно отследить какой процесс это делает?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    A вы пришлите карантин , вот разберёмся Думаю штучки из тех , которые просил прислать и виноваты

  6. #5
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64
    выслал.

  7. #6
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64
    Вот вам возможно в помощь информация:
    активничает в процессах ранее незамеченый (возможно и был, но столько памяти не "ел") процесс SERVICES.exe
    еще мен волнует процессы с названием RUNDL132.exe и RUNDLL32.exe

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    AVZ - выполнить скрипт
    Код:
    begin 
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     DeleteFile('C:\WINDOWS\service32.exe');
     DeleteFile('C:\WINDOWS\ctfmon32.dll');
     BC_DeleteSvc('PE386'); 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate; 
     RebootWindows(true); 
    end.
    C:\WINDOWS\uninstall\rundl132.exe - Win32.HLLW.Gavir.54 известен DrWeb'у
    Обновите базы, выполните проверку и лечение сканером.

    После выполнения сделайте новые логи.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Win32.HLLW.Gavir.54 известен DrWeb'у, но текущей версии он не по зубам. Детектирует его только бета.
    Так что, не помешает в скрипт добавить строчку
    Код:
    DeleteFile('C:\WINDOWS\uninstall\rundl132.exe');
    туда где другие DeleteFile...

    PS. Почитал описание Win32.HLLW.Gavir. Он заражает exe файлы, и одним удалением C:\WINDOWS\uninstall\rundl132.exe от него не избавится

  10. #9
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64
    что же делать тогда?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от Art Посмотреть сообщение
    что же делать тогда?
    Выполнить то что написано выше.

    ps уже обработали, определяется...
    Последний раз редактировалось Shu_b; 07.01.2007 в 17:05.

  12. #11
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64
    Сегодня активность обострилась.
    др.веб выдаёт часто, что winlogin.exe и другие заражен Trojan.PWS.* (разные типы).
    в процессах появляються названия типа iexp1orer.exe
    выкладывать логи?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Да, давайте новые логи.

  14. #13
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64
    все старые симптомы, кроме непонятно куда уходящего траффика (слава богу хоть по карману теперь не бъет эта хрень ) проявились.
    один ра процессы взяли почти всю оперативку.
    также чато появляються в количестве 3-4 штук процесс dumprep.exe и dumperep.exe. несколько процессов с "1" в названии.
    и *.ехе файды бъются.

    кстати, процесс avz отображается как avz.exe.exe
    Последний раз редактировалось Art; 22.03.2007 в 00:43.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Базы DrWeb когда обновляли? Он уже со вчерашнего вечера должен детектировать C:\WINDOWS\uninstall\rundl132.exe
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     ClearQuarantine;
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\uninstall\rundl132.exe','');
     QuarantineFile('C:\DOCUME~1\Art\LOCALS~1\Temp\mhs2.exe','');
     QuarantineFile('C:\DOCUME~1\Art\LOCALS~1\Temp\Rxa3\iexp1ore.exe','');
     QuarantineFile('C:\DOCUME~1\Art\LOCALS~1\Temp\Rxgx.dll','');
     QuarantineFile('C:\DOCUME~1\Art\LOCALS~1\Temp\mhs0.dll','');
     DeleteFile('c:\docume~1\art\locals~1\temp\rxa3\iexp1ore.exe');
     DeleteFile('c:\docume~1\art\locals~1\temp\mhs2.exe');
     DeleteFile('C:\DOCUME~1\Art\LOCALS~1\Temp\mhs0.dll');
     DeleteFile('C:\DOCUME~1\Art\LOCALS~1\Temp\Rxgx.dll');
     DeleteFile('C:\Windows\RUNXMLPL.exe');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите содержимое карантина AVZ.

  16. #15
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64
    выслал.
    др.веб вчера был обновлен собственно за вчера. сегодня утром *.ехе др.веба оказался битым. я поставил бета версию новую. обновление за сегодня в 15:30.
    нашло этот файл (ранд1л32), прилечении выдало ошибку. после перезагрузки просто его удалило. но я его и вчера удалял, а сегодня он снова появился. буду смотреть, друг снова появится.

    p.s. оффтоп: не подскажите софт для автоматической чистки реестра от ненужного (типа удалённых программ и т.д.)?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от Art Посмотреть сообщение
    др.веб вчера был обновлен собственно за вчера. сегодня утром *.ехе др.веба оказался битым. я поставил бета версию новую. обновление за сегодня в 15:30.
    нашло этот файл (ранд1л32), прилечении выдало ошибку. после перезагрузки просто его удалило. но я его и вчера удалял, а сегодня он снова появился. буду смотреть, друг снова появится.
    Необходимо загрузиться в безопасном режиме и сканером проверить все HDD найденное лечить, неизлечимое удалять. Желательно просканировать два раза, и в это время нельзя ничего более запускать из программ.
    Цитата Сообщение от Art Посмотреть сообщение
    p.s. оффтоп: не подскажите софт для автоматической чистки реестра от ненужного (типа удалённых программ и т.д.)?
    Лично мне нравится jv16 PowerTools.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    кстати всё присланное... (по VBA)

    C:\WINDOWS\uninstall\rundl132.exe - MalwareScope.Worm.Viking.4 (Win32.HLLW.Gavir.54)
    C:\DOCUME~1\Art\LOCALS~1\Temp\Rxa3\iexp1ore.exe - MalwareScope.Worm.Viking.4
    C:\DOCUME~1\Art\LOCALS~1\Temp\Rxgx.dll - MalwareScope.Worm.Viking.4
    C:\DOCUME~1\Art\LOCALS~1\Temp\mhs0.dll - MalwareScope.Worm.Viking.4
    C:\DOCUME~1\Art\LOCALS~1\Temp\mhs2.exe - Trojan.PWS.Wsgame

  19. #18
    Junior Member Репутация
    Регистрация
    05.12.2006
    Сообщений
    38
    Вес репутации
    64
    в безопасном режиме, как и писали, почистил бета-версией доктора.
    153 файла, большинство исцелились. некоторые я удалил.


    а что за группа MalwareScopе??

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Почитайте описание зверя из того же семейства:
    http://www.viruslist.com/ru/viruses/...virusid=136621

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    У антивирусных вендоров взгляды поменялись... (VMS DrWeb обработал):
    C:\WINDOWS\uninstall\rundl132.exe - Win32.HLLW.Gavir.54
    C:\DOCUME~1\Art\LOCALS~1\Temp\Rxa3\iexp1ore.exe - Trojan.PWS.Gamania
    C:\DOCUME~1\Art\LOCALS~1\Temp\Rxgx.dll - Trojan.PWS.Gamania
    C:\DOCUME~1\Art\LOCALS~1\Temp\mhs0.dll - Trojan.PWS.Wsgame
    C:\DOCUME~1\Art\LOCALS~1\Temp\mhs2.exe - Trojan.PWS.Wsgame

    А VBA наоборот перестал детектировать это добро... ужАс...

    Нужно обновиться, отсканировать все диски и после сделать новые логи.

  • Уважаемый(ая) Art, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 11.01.2012, 13:49
    2. Многочисленные сбои и вирусы
      От dkorost в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.11.2010, 14:40
    3. Многочисленные траблы.
      От Robin-333 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 18.05.2010, 18:58
    4. многочисленные вирусы
      От kuzjka в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.11.2009, 22:09
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 01:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00125 seconds with 19 queries