Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 36.

rundll32.exe достал (заявка № 77857)

  1. #1
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25

    Thumbs up rundll32.exe достал

    Сабж. Запускается куча и не пропадает, пока руками не завершишь.

    Из процесс експлорера:
    Порождает их D:\WINDOWS\System32\svchost.exe -k netsvcs

    Path: D:\WINDOWS\System32\rundll32.exe
    CMD line: rundll32.exe zfyspqu.u,qrvnuvk (варьируется, rundll32.exe zfyspqu.u,mjynx или rundll32.exe zfyspqu.u,jbfau)

    Что это такое?
    Логи прилагаю.
    ПС. АВЗ зачем-то убил альтернативный notepad.ехе, сказав, что это кейлоггер. Могу этот блокнот тоже приложить.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\Documents and Settings\Владислав\s87ekhv.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\Documents and Settings\Владислав\s87ekhv.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи
    s87ekhv удалил, сразу как логи запостил. Он, видимо, от какой-то заразы остался раньше. рундлл32 появляются...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от V_Bond Посмотреть сообщение
    повторите логи
    где они....

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Перед повторными логами

    Пофиксите в hijack
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
    O21 - SSODL: System - {8BFB3292-5AD6-45AD-BD91-32349C667819} - sysw.dll (file missing)
    По симптомам похоже на то, что к Вам ломится Кидо
    А вот система у Вас сплошное решето
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Обновляться нужно. И чем быстрее, тем лучше для Вас
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    Цитата Сообщение от polword Посмотреть сообщение
    где они....
    сейчас будут.
    Пофиксите в hijack
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
    сделал, хотя параметр userinit просто был написан не заглавными буквам, ничего криминального...
    А вот система у Вас сплошное решето
    заплатки MS08-068, MS09-001, MS08-067 стоят. СП3 чего нет, того нет...
    По симптомам похоже на то, что к Вам ломится Кидо
    Как узнать откуда? и уточнить, что это он?
    Вложения Вложения
    Последний раз редактировалось tu-104; 11.05.2010 в 07:53. Причина: логи

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Лучше не уточнять откуда ломится Кидо, а обновлять систему

    Пофиксите в HiJack
    Код:
    O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
    O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
    Больше плохого не видно

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Adobe Acrobat 9.3 или удалите старый
    Обновите JavaRE
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    Лучше не уточнять откуда ломится Кидо, а обновлять систему

    Пофиксите в HiJack
    Код:
    O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
    O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
    Больше плохого не видно

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Adobe Acrobat 9.3 или удалите старый
    Обновите JavaRE
    сделал, кроме SP3, все также.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от tu-104 Посмотреть сообщение
    сделал, кроме SP3
    Вот потому и
    Цитата Сообщение от tu-104 Посмотреть сообщение
    все также.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вот потому и
    накатил вчера SP3, оставил на ночь.
    сегодня опять эта хрень. (по времени показывает 21:41, в сети врядли кто-то еще был)
    скрин с обновлениями. может еще чего?
    Изображения Изображения

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Вы установили все обновления, вышедшие после SP3?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вы установили все обновления, вышедшие после SP3?
    нет. их куча

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от tu-104 Посмотреть сообщение
    нет. их куча
    Включите автоматическое обновление и система сама все скачает
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    готово.
    ну вот, все обновления с сайта установлены.
    ВылеЗЛО снова.
    Последний раз редактировалось tu-104; 15.07.2010 в 11:06.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Сделайте лог MBAM

  17. #16
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    лог
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1. удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\clinker.clinkerbho (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\clinker.clinkerbho.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{c1a4652d-4cbe-485a-92a0-bdec9def0e2b} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\AppID\{866e38f6-b2f5-4c0e-b0b9-54b7d5bb8651} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7bcfd25-5c30-4bcf-9483-6f151a54f7c9} (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    
    Зараженные файлы:
    D:\Documents and Settings\Владислав\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     QuarantineFile('D:\WINDOWS\system32\msconftb.sys','');
     QuarantineFile('F:\work\Делфи\test\примеры, кнопки\FSG.EXE','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  19. #18
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    готово.
    :\work\Делфи\test\примеры, кнопки\FSG.EXE' - это упаковщик ЕХЕшников

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('D:\WINDOWS\system32\msconftb.sys');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  21. #20
    Junior Member Репутация
    Регистрация
    20.03.2010
    Сообщений
    35
    Вес репутации
    25
    стандартные логи.
    - Сделайте лог MBAM
    это на целый день. к вечеру будет готово
    +снова скрин rundll
    +лог мвам
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось tu-104; 19.07.2010 в 08:42.

  • Уважаемый(ая) tu-104, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. dlink4.biz достал
      От prowler в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.01.2010, 10:46
    2. z-connect достал
      От wizard1 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.07.2009, 20:07
    3. autorun ДОСТАЛ
      От Alex665 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.04.2009, 10:50
    4. Достал BN2.TMP
      От altab в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:00
    5. IE бар уже достал( ((
      От script88 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.10.2008, 14:11

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01585 seconds with 22 queries