-
Junior Member
- Вес репутации
- 64
Таинственный вирус
Расскажу всю историю:
Все началось с того что решил подключить интернет по сети , ну протянули кабель, и мастер по наладке сел за комп воткнул флешку установил с нее net up UTM (установщик находился под именем 9129837.exe) все настроил и ушел. И я счастливый начал пользоватся высокоскоростным интернетом, минут через 5 мой макафи обнаружил вирус и удалил его , я не придал этому значения и продолжил сидеть в нете в дальнейшем окно макафи открылось раз 5 с этим же вирусом(его имя:
new_drv.sys Generic RootKit.a (Trojan))
и отчетом о его удалении и это после закрытия explorera и выхода из сети , причем в окне мелькнуло название установщика 9129837.exe. Оказалось в system 32 записалось приложение с таким же названием как у установщика, при смене пользователя , у меня их три и все под паролем, появляется четвертый пользовател под именем Adminestrator, но самое интересное то что все пароли остальных пользователей перестают работать, все это вылечилось перезагрузкой. После перезагрузки сделал anti virus scan всего компа и вирусов не было обнаружено, но я все равно удалил 9129837.exe и проблема с этим вирусом исчезла. На следующий включил комп посидел минут десять и открылось окно в нем было написано что то вроде NT AUTHORITY/SYSTEM сейчас произойдет перезагрузка сохраните все данные. После перезагрузки опять сделал сканирование ничего не нашел, через некоторое время открылось окно макафи о удалении вируса: NT AUTHORITY\SYSTEM cmd.exe D:\WINDOWS\system32\o W32/Sdbot.worm!ftp (Virus)
При смене пользователя такая же фигня с паролями но без Adminestrator-А. Периодически раз в несколько дней макафи сообщает о его нахождении но не удаляет его а пишет blocked by buffer overflow. Может вирус в cmd.exe . В принципе меня это не особо напрягает но все же мешает , может кто нибудь встречался с этим ?
И еще AVZ тоже ничего не нашел.
Последний раз редактировалось Палыч; 13.01.2007 в 19:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните Правила.
PS. Обновления на Windows надо устанавливать!
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
AndreyKa
Выполните
Правила.
PS. Обновления на Windows надо устанавливать!
Извиняюсь что не прочел правила
вот файлы.
-
Выполнить в авз скрипт и прислать после того ,как компьютер перезагрузиться, файл с папки авз нам по правилам .
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('D:\GAMES\System32\EntApi.dll','');
QuarantineFile('D:\Games\System32\RUSSIA~1.SCR','');
QuarantineFile('D:\GAMES\System32\autorun.exe','');
QuarantineFile('D:\GAMES\System32\ylxb.dll','');
QuarantineFile('D:\GAMES\9129837.exe','');
QuarantineFile('D:\System Volume Information\_restore{E4884659-DE59-418F-9740-95171BB42FFE}\RP74\A0051894.exe','');
RebootWindows(true);
end.
-
-
Вот это надо "фиксить":
Код:
Platform: Windows XP SP1 (WinNT 5.01.2600)
Иначе напихают зверья.
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
drongo
Выполнить в авз скрипт и прислать после того ,как компьютер перезагрузиться, файл с папки авз нам по правилам .
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('D:\GAMES\System32\EntApi.dll','');
QuarantineFile('D:\Games\System32\RUSSIA~1.SCR','');
QuarantineFile('D:\GAMES\System32\autorun.exe','');
QuarantineFile('D:\GAMES\System32\ylxb.dll','');
QuarantineFile('D:\GAMES\9129837.exe','');
QuarantineFile('D:\System Volume Information\_restore{E4884659-DE59-418F-9740-95171BB42FFE}\RP74\A0051894.exe','');
RebootWindows(true);
end.
Пришлось отправить файл через почту, в закрузке файла говрит типа неправильный линк.
-
Junior Member
- Вес репутации
- 64
Сообщение от
pig
Вот это надо "фиксить":
Код:
Platform: Windows XP SP1 (WinNT 5.01.2600)
Иначе напихают зверья.
Выбрал в hijack, system scan only , но там нету указанной строки , может чтото неправильно делаю ?
Последний раз редактировалось drongo; 14.01.2007 в 17:43.
-
Сообщение от
maxi s
Выбрал в hijack, system scan only , но там нету указанной строки , может чтото неправильно делаю ?
Шедевр С вашего разрешения в раздел юмора
-
-
Сообщение от
maxi s
Выбрал в hijack, system scan only , но там нету указанной строки , может чтото неправильно делаю ?
Смешно получилось, ей-богу, 5 с плюсом! =)
Речь идет не о строке в логе, которую надо фиксить, а о том, что вам надо "фиксить", т.е. чинить, саму операционную систему, на который вы работаете, т.е. для начала установить 2-й Service Pack + все последующие обновления! А "иначе нам удачи не видать"!
Только помните при этом одну вещь: установка 2-го SP неминуемо приведет к проблемам, если у вас нелицензионная ОС - придется заново активировать систему.
-
-
Сообщение от
maxi s
Пришлось отправить файл через почту, в закрузке файла говрит типа неправильный линк.
Ссылка на Вашу тему http://virusinfo.info/showthread.php?t=7481
На какой адрес отправили?
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
AndreyKa
Закачал на upload
По почте не отправилось , сказали что у меня нет права отправлять файлы.
-
Сообщение от
maxi s
Закачал на upload
Мы файлы заказывали, а не скрипт... скрипт мы уже видели...
-
-
Junior Member
- Вес репутации
- 64
Насколько я понял:
1. Выполнить скрипт
2. Получившийся файл с помощью AVZ по правилам добавить в архив
3. Прислать вам.
Если что то неправильно напишите пожалуйста пошаговый мануал.
-
См. Приложение 2, начиная с пункта 5.
-
-
Junior Member
- Вес репутации
- 64
закачал все содержимое карантина
-
Junior Member
- Вес репутации
- 64
Установил sp2 , пока толку никакого, только начали появлятся такие же вирусы но с другими названиями типа: o, i, y, ит.п.
-
Тогда нужны новые логи. Стенка какая-то стоит? Вход администратора с паролем?
-
-
Сообщение от
maxi s
Установил sp2 , пока толку никакого, только начали появлятся такие же вирусы но с другими названиями типа: o, i, y, ит.п.
Кроме sp2 надо еще несколько десятков обновлений установить
http://windowsupdate.microsoft.com/
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
Geser
Тогда нужны новые логи. Стенка какая-то стоит? Вход администратора с паролем?
Да, все три профиля под паролем из них один администратор.
-
Что за мода пошла отвечать на половину вопросов.
-