Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Зараза (заявка № 8458)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63

    Exclamation Зараза

    В последние дни браузер Maxthon стал часто зависать, все время самопроизвольно открывалось окно IE с адресом www.clic-tone.com, диспетчер показывал наличие 3-4 неубиваемых процессов iexplorer, а последние 2 дня динамик стал издавать продолжительные 2-тональные сигналы типа сирены. Установлен AVP. Попытки почистить компьютер с его помощью, а также с помощью Ashampoo AntiSpyWare и Spybot, давали какие-то кратковременные результаты. Времени на переписку с Вами не было и вчера сделал восстановление системы в безопасном режиме (по-другому не получалось). Сейчас вроде все нормально. К сожалению, никаких логов у меня нет. Вопрос:
    1. Правильно ли я сделал
    2. Что это могло быть
    3. Как правильно поступать в будущем
    4. Какая защита наиболее пригодна (AVP, Ashampo и Spybot не справились)
    PS. Часто появлялись сообщения AVP об активности Ref Spam Meet Body/MfcdFree.exe
    Есть файл C:\WINDOWS\system32\drivers\etc\host. На мой взгляд, его просто изнасиловал кто-то типа "added by CiD". В C:\Documents and Settings\All Users\Application Data были 2 папки типа Ref Spam Meet Body и Bin Locks Dupe
    Последний раз редактировалось kservice; 16.03.2007 в 22:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718

  4. #3
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Вы считаете, что есть смысл, ведь сейчас все работает внешне нормально?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    С Ваших слов невозможно точно узнать что твориться в Вашей системе сейчас. Сказать точно смогу только после того как будут логи.

  6. #5
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    OK, сделаю

  7. #6
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Все сделал
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
     QuarantineFile('c:\windows\system32\lexpps.exe','');
     QuarantineFile('C:\WINDOWS\web\related.htm','');
     QuarantineFile('C:\WINDOWS\ANKER.SCR','');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe','');
     QuarantineFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe','');
     QuarantineFile('C:\Bosch ESI\ESItronic\KTS500\ph_test.exe','');
     QuarantineFile('C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll','');
    RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
    Пришлите файлы карантина по правилам раздела "Помогите".

  9. #8
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Цитата Сообщение от MaXim Посмотреть сообщение
    Выполните скрипт в AVZ
    После перезагрузки "пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
    Пришлите файлы карантина по правилам раздела "Помогите".
    Сделал, но нет уверенности, что сделал правильно. Имелись ввиду файлы карантина AVZ?
    Последний раз редактировалось Макcим; 02.05.2007 в 17:07.

  10. #9
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Подумал и решил, что может еще нужны логи HijackThis. Ведь не зря же надо было сделать "После перезагрузки "пофиксите" в HijackThis"
    Лог hijackthis_2 получен после сканирования системы, а hijackthis_3 - после выполнения операции "Fix checked"
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Ну вот, только отправил предыдущее сообщение и компьютер опять начал издавть 2-тональный сигнал типа полицейской сирены. Можно ли перезапустить его для избавления от этого воя?
    Последний раз редактировалось kservice; 18.03.2007 в 18:20.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Имелись ввиду файлы карантина AVZ?
    Да.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Звери вроде есть у вас, а по поводу "сирены" - это железная проблема. Проверьте, крутится ли вентилятор на процессоре.

  14. #13
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Подергал разъемы на материнке и звук пропал. Может быть его причиной был вовсе не вирус? Посмотрим дальше, но бездействие системы с момента появления звука сохраняется 90-95%. Вентилятор на процессоре мне пока недоступен из-за блока питания. Позже разберу и посмотрю.

  15. #14
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Сообщите, пожалуйста, как там мои вирусы?

  16. #15
    Visiting Helper Репутация Репутация Аватар для Кто?
    Регистрация
    07.04.2006
    Адрес
    Владивосток
    Сообщений
    104
    Вес репутации
    67
    Сообщите пожалуйста, куда вы дели файлы карантина?
    Нужно было сюда, ссылка на тему http://virusinfo.info/showthread.php?t=8458, согласно приложения 3 Правил

  17. #16
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Отправил повторно

  18. #17
    Visiting Helper Репутация Репутация Аватар для Кто?
    Регистрация
    07.04.2006
    Адрес
    Владивосток
    Сообщений
    104
    Вес репутации
    67
    В присланном были не все запрошенные. Те, что прислали - чистые.
    Попробуйте теперь так.
    Код:
    begin
     ClearQuarantine;
     SetAVZGuardStatus(True);
     BC_QrFile('c:\windows\system32\tcpsvcs.exe');
     BC_QrFile('C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe');
     BC_QrFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe');
     BC_QrFile('C:\Bosch ESI\ESItronic\KTS500\ph_test.exe');
     BC_QrFile('C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки файл карантина вышлите и прикрепите сюда файл boot_clr.log.

  19. #18
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    Результат загрузки
    Файл сохранён как 070322_222934_virus 2007-03-22_4602d91e272e1.zip
    Размер файла 467610
    MD5 6c6fb9a7cfa27424408401feff300163

    Обращаю еще раз Ваше внимание: наличие вирусов (?) было очевидно только до отката системы. Сейчас, на мой взгляд, все нормально, хотя иногда KAV сообщает о запуске каких-то не совсем понятных процессов.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Те файлы, что попали в карантин чистые Остальные Вам придется вылавливать вручную. Перезагрузите компьютер в режим Safe Mode. О таом как это сделать написанно здесь Вам нужно включить настройку "показывать скрытые и системные файлы". В проводнике это делается так:
    Мой компьютер - Сервис - Свойство папки Вид - Скрытые файлы и паки - Показывать скрытые файлы и папки. Ищите вручную файлы
    C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe
    C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\Sy stem.dll
    Копируете эти файлы в отдельную папку. Перезагружаетесь в обычный режим. Архивируете паку в которую копировали эти файлы под пароль virus и присылаете архив к нам по правилам раздела.

  21. #20
    Junior Member Репутация
    Регистрация
    15.02.2007
    Адрес
    Севастополь
    Сообщений
    57
    Вес репутации
    63
    C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe -этот файл был на момент заражения, но сейчас его нет!
    Нашел нечто подобное MfcdFree.exe-00C2D669.pf в папке C:\Windows\Prefetch

    C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\Sy stem.dll - такой директории C:\DOCUME~1 нет, равно как и файла. System.dll есть, но не в папке nsb7.tmp

  • Уважаемый(ая) kservice, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. зараза с флешки
      От Bizant в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.01.2010, 12:53
    2. Зараза
      От Vortex1337 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.04.2009, 18:07
    3. Зараза
      От joniscoolkz в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:16
    4. Троян, зараза.
      От Xavok в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.06.2008, 00:37
    5. Зараза
      От billyg в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.09.2007, 21:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01595 seconds with 18 queries