-
Junior Member
- Вес репутации
- 64
Многочисленные симптомы заражения
Доброй поры суток.
Сразу по сути: компъютер не был подключён к инету около 2х недель. (до этого имел постоянное подключение, но признаков заражения не подавал). сегодня подключил.
появились сразу же такие "неполадки":
- постоянный входящий и исходящий траффик, хотя на данный момент никаких процессов моих с возможными автоапдейтами и т.д. не запущено.
- процессы время от времени забивают всю оперативную память. (все процессы без исключения занимают от 30 и выше мб оперативки)
- пропали иконки на многих *.ехе файлах. вместо свойственны им иконок - иконки как в системных или дос файлах. эти *.ехе файлы не запускаются.
- временами рабчий стол просто "умирает". никаких действий с ним сделать нельзя. хотя и "пуск" и и "квик ланч" работают.
др.веб ничего не находит.
прикрепил логи по инструкции.
жду Ваших консультаций. спасибо.
З.Ы. вот после проверки авз и хайджетом симптомы вроде бы ищезли. но мало ли.
Последний раз редактировалось Art; 22.03.2007 в 00:43.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ - выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ToolBand.dll','');
QuarantineFile('C:\WINDOWS\system32\MSNChatHook.dll','' );
QuarantineFile('C:\WINDOWS\system32\lzx32.sys','');
QuarantineFile('C:\WINDOWS\system32\ToolBand.dll','');
QuarantineFile('C:\Windows\RUNXMLPL.exe','');
QuarantineFile('C:\WINDOWS\ctfmon32.dll','');
QuarantineFile('c:\windows\service32.exe','');
QuarantineFile('C:\WINDOWS\uninstall\rundl132.exe','');
QuarantineFile('C:\WINDOWS\system32\sysenv.dll','');
RebootWindows(true);
end.
компьютер перегрузиться сам .
содержимое карантина из AVZ прислать в соответствии приложения 2 правил с пункта 5
Последний раз редактировалось drongo; 06.01.2007 в 22:08.
-
-
Junior Member
- Вес репутации
- 64
траффик продолжает уплывать и приходить.
можно отследить какой процесс это делает?
-
A вы пришлите карантин , вот разберёмся Думаю штучки из тех , которые просил прислать и виноваты
-
-
Junior Member
- Вес репутации
- 64
-
Junior Member
- Вес репутации
- 64
Вот вам возможно в помощь информация:
активничает в процессах ранее незамеченый (возможно и был, но столько памяти не "ел") процесс SERVICES.exe
еще мен волнует процессы с названием RUNDL132.exe и RUNDLL32.exe
-
AVZ - выполнить скрипт
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\service32.exe');
DeleteFile('C:\WINDOWS\ctfmon32.dll');
BC_DeleteSvc('PE386');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
C:\WINDOWS\uninstall\rundl132.exe - Win32.HLLW.Gavir.54 известен DrWeb'у
Обновите базы, выполните проверку и лечение сканером.
После выполнения сделайте новые логи.
-
-
Win32.HLLW.Gavir.54 известен DrWeb'у, но текущей версии он не по зубам. Детектирует его только бета.
Так что, не помешает в скрипт добавить строчку
Код:
DeleteFile('C:\WINDOWS\uninstall\rundl132.exe');
туда где другие DeleteFile...
PS. Почитал описание Win32.HLLW.Gavir. Он заражает exe файлы, и одним удалением C:\WINDOWS\uninstall\rundl132.exe от него не избавится
-
-
Junior Member
- Вес репутации
- 64
-
Сообщение от
Art
что же делать тогда?
Выполнить то что написано выше.
ps уже обработали, определяется...
Последний раз редактировалось Shu_b; 07.01.2007 в 17:05.
-
-
Junior Member
- Вес репутации
- 64
Сегодня активность обострилась.
др.веб выдаёт часто, что winlogin.exe и другие заражен Trojan.PWS.* (разные типы).
в процессах появляються названия типа iexp1orer.exe
выкладывать логи?
-
-
-
Junior Member
- Вес репутации
- 64
все старые симптомы, кроме непонятно куда уходящего траффика (слава богу хоть по карману теперь не бъет эта хрень ) проявились.
один ра процессы взяли почти всю оперативку.
также чато появляються в количестве 3-4 штук процесс dumprep.exe и dumperep.exe. несколько процессов с "1" в названии.
и *.ехе файды бъются.
кстати, процесс avz отображается как avz.exe.exe
Последний раз редактировалось Art; 22.03.2007 в 00:43.
-
Базы DrWeb когда обновляли? Он уже со вчерашнего вечера должен детектировать C:\WINDOWS\uninstall\rundl132.exe
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\uninstall\rundl132.exe','');
QuarantineFile('C:\DOCUME~1\Art\LOCALS~1\Temp\mhs2.exe','');
QuarantineFile('C:\DOCUME~1\Art\LOCALS~1\Temp\Rxa3\iexp1ore.exe','');
QuarantineFile('C:\DOCUME~1\Art\LOCALS~1\Temp\Rxgx.dll','');
QuarantineFile('C:\DOCUME~1\Art\LOCALS~1\Temp\mhs0.dll','');
DeleteFile('c:\docume~1\art\locals~1\temp\rxa3\iexp1ore.exe');
DeleteFile('c:\docume~1\art\locals~1\temp\mhs2.exe');
DeleteFile('C:\DOCUME~1\Art\LOCALS~1\Temp\mhs0.dll');
DeleteFile('C:\DOCUME~1\Art\LOCALS~1\Temp\Rxgx.dll');
DeleteFile('C:\Windows\RUNXMLPL.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите содержимое карантина AVZ.
-
-
Junior Member
- Вес репутации
- 64
выслал.
др.веб вчера был обновлен собственно за вчера. сегодня утром *.ехе др.веба оказался битым. я поставил бета версию новую. обновление за сегодня в 15:30.
нашло этот файл (ранд1л32), прилечении выдало ошибку. после перезагрузки просто его удалило. но я его и вчера удалял, а сегодня он снова появился. буду смотреть, друг снова появится.
p.s. оффтоп: не подскажите софт для автоматической чистки реестра от ненужного (типа удалённых программ и т.д.)?
-
Сообщение от
Art
др.веб вчера был обновлен собственно за вчера. сегодня утром *.ехе др.веба оказался битым. я поставил бета версию новую. обновление за сегодня в 15:30.
нашло этот файл (ранд1л32), прилечении выдало ошибку. после перезагрузки просто его удалило. но я его и вчера удалял, а сегодня он снова появился. буду смотреть, друг снова появится.
Необходимо загрузиться в безопасном режиме и сканером проверить все HDD найденное лечить, неизлечимое удалять. Желательно просканировать два раза, и в это время нельзя ничего более запускать из программ.
Сообщение от
Art
p.s. оффтоп: не подскажите софт для автоматической чистки реестра от ненужного (типа удалённых программ и т.д.)?
Лично мне нравится jv16 PowerTools.
-
-
кстати всё присланное... (по VBA)
C:\WINDOWS\uninstall\rundl132.exe - MalwareScope.Worm.Viking.4 (Win32.HLLW.Gavir.54)
C:\DOCUME~1\Art\LOCALS~1\Temp\Rxa3\iexp1ore.exe - MalwareScope.Worm.Viking.4
C:\DOCUME~1\Art\LOCALS~1\Temp\Rxgx.dll - MalwareScope.Worm.Viking.4
C:\DOCUME~1\Art\LOCALS~1\Temp\mhs0.dll - MalwareScope.Worm.Viking.4
C:\DOCUME~1\Art\LOCALS~1\Temp\mhs2.exe - Trojan.PWS.Wsgame
-
-
Junior Member
- Вес репутации
- 64
в безопасном режиме, как и писали, почистил бета-версией доктора.
153 файла, большинство исцелились. некоторые я удалил.
а что за группа MalwareScopе??
-
-
-
У антивирусных вендоров взгляды поменялись... (VMS DrWeb обработал):
C:\WINDOWS\uninstall\rundl132.exe - Win32.HLLW.Gavir.54
C:\DOCUME~1\Art\LOCALS~1\Temp\Rxa3\iexp1ore.exe - Trojan.PWS.Gamania
C:\DOCUME~1\Art\LOCALS~1\Temp\Rxgx.dll - Trojan.PWS.Gamania
C:\DOCUME~1\Art\LOCALS~1\Temp\mhs0.dll - Trojan.PWS.Wsgame
C:\DOCUME~1\Art\LOCALS~1\Temp\mhs2.exe - Trojan.PWS.Wsgame
А VBA наоборот перестал детектировать это добро... ужАс...
Нужно обновиться, отсканировать все диски и после сделать новые логи.
-