Показано с 1 по 19 из 19.

Осталась какая-то хрень (заявка № 8474)

  1. #1
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38

    Exclamation Осталась какая-то хрень

    Дёрнул меня чёрт взяться за удалённую работу... Наловил кучу всякого дерьма =((

    Первые симптомы:
    • самопроизвольное закрытие окон IE и некоторых программ;
    • убийство AnVir (сторож реестра);
    • появились процессы вида: drf1173910330[1].html.exe, и icqnet.exe;
    • в IE появилась какая то левая надстройка выдающая себя за DM toolbar;
    • скорость загрузки из Инета в Download Master после первых секунд падает до 3 килобайт в сек (должно быть ~80 кбс), причём такое же падение скорости наблюдается также и для файлов внутренней сетки (должно быть ~1100 килобайт в сек).
    drweb-cureit.exe нашёл и прибил (удалил файлы) 2 вируса что-то там.. Trojan.Dialer... и NTNN... не помню точно, а лог он не сохранил, вот редиска =(. Найдены они были в файлах: dmaster.exe, icqnet.exe, smss.exe, и в каком то ещё... из IE Temp.

    При первом прогоне AVZ (по правилам, первый скрипт) - AVZ был самопроизвольно закрыт. После перезагрузки и повторного запуска скрипт отработал нормально. Логи прилагаю.

    Сейчас остался последний симпом из перечисленных. Стало быть наверно что то ещё осталось. Поможите люди добрые.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38
    Забыл добавить: при загрузке файла средствами IE скорость нормальная, возможно это и не существенно.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Program Files\LightWave_3d_7.0\Plugins\Animate\MD2000.p','' );
     QuarantineFile('D:\temp\vir\drf1173910330[1].html.exe','');
     QuarantineFile('D:\temp\swarmsaver.scr','');
     QuarantineFile('D:\WINDOWS\system32\ou1viewer.dll','');
     QuarantineFile('d:\program files\alias\maya6.0\docs\wrapper.exe','');
     QuarantineFile('d:\windows\system32\wtablet\tabuserw.exe','');
     QuarantineFile('d:\program files\alias\maya6.0\docs\jre\bin\java.exe','');
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
    Очистите кэш браузера.

  5. #4
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38
    Выслал. Кстати файла 'D:\temp\swarmsaver.scr' в карантине не оказалось. Да и на диске его нет.

  6. #5
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38
    Всё? Помощь иссякла? =((

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В присланном:
    drf1173910330[1].html.exe - Trojan.Win32.Dialer.ri
    ou1viewer.dll - Trojan-PSW.Win32.Maran.da
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\temp\vir\drf1173910330[1].html.exe');
     DeleteFile('D:\WINDOWS\system32\ou1viewer.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи.
    PS. Сайт http://cahek.hut1.ru в доверенную зону сами прописывали?

  8. #7
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38
    После удаления ou1viewer.dll полностью отвалилсся Инет (http, pop3, skype, icq и т.д хотя сервера пинговались). Восстановил пока ou1viewer.dll, иначе совсем тоскливо. Нет ли другого способа кроме удаления?

    Откуда вы узнали, что в ou1viewer.dll - Trojan-PSW.Win32.Maran.da? AVZ ничего не нашёл, DrWeb CureIt - нашёл Dialer.Tiny. Им что нельзя доверять?

    Цитата Сообщение от Bratez Посмотреть сообщение
    PS. Сайт http://cahek.hut1.ru в доверенную зону сами прописывали?
    Да сам, это мой сайт. Есть опасность?

    Так мне выполнять это скрипт и делать логи? Инет опять же отвалится, а без Инета какая жизнь?
    Последний раз редактировалось A4'; 19.03.2007 в 06:41. Причина: Добавлено уточнение

  9. #8
    Visiting Helper Репутация Репутация Аватар для Кто?
    Регистрация
    07.04.2006
    Адрес
    Владивосток
    Сообщений
    104
    Вес репутации
    40
    После выполнения скрипта.
    AVZ -> файл -> Восстановление системы -> поставить галочку на п.14 -> выполнить отмеч. операции.
    Интернет должен восстановиться, если нет, то. отметить п. 15 и выполнить.

    Откуда вы узнали, что в ou1viewer.dll - Trojan-PSW.Win32.Maran.da?
    Это по классификации лаборатории Касперского
    Последний раз редактировалось Кто?; 19.03.2007 в 08:36.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Кстати, если Касперский не ошибается, то нужно будет поменять пароли на все: интернет, аську, почту и пр.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38
    Увы, симптомы (падение скорости загрузки в Download Master) пока остаются =(
    Через некоторое время вышлю логи, а пока вопрос: как проверять систему с помощью CureIT? (2 пункт правил) Достаточно ли того что она проверяет стартовые файлы при своём запуске или её нужно прогонять вообще по всем файлам? Если Второе, то это будет пипец как долго. Много, много часов....

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    CureIt надо просто запустить, он сделает все, что нужно.
    Это не долго, всего несколько минут.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от A4' Посмотреть сообщение
    Увы, симптомы (падение скорости загрузки в Download Master) пока остаются =(
    Так у вас ou1viewer.dll по-прежнему живет, или совет Кто? не помог?

  14. #13
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38
    ou1viewer.dll - убит, Инет восстановлен, совет Кто? очевидно помог. SPI/LSP настройки восстановлены. Но симптомы остались =( Не знаю что и думать...
    Ладно щас ещё раз логи сделаю.
    Последний раз редактировалось A4'; 19.03.2007 в 17:48. Причина: добавлено

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Попробуйте удалить DM (желательно с очисткой его папки и ключей в реестре), скачать свежий и поставить.

  16. #15
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38
    Дык... уже пробовал (пару дней назад, когда всё это началось) только реестр не чистил..

    Там по логам видна какая-то зараза
    в D:\WINDOWS\system32\drivers\sptd.sys. Якобы скази-драйвер...
    имеет дату 31 января 3007 года и перехватывает всё что только можно. Произаодитель и версия не указаны.
    Рядом с ним в D:\WINDOWS\system32\drivers\ валяются sptd_to_deleted.sys и sptd4173_to_deleted.sys. Версия, описание и производитель вроде разумные. Скази устройств на компе нет, но ставил себе Deamon Tools которых и поставил (ИМХО) скази порт драйвер.

    Логи прилагаю. Во время записи логов были какие то катклизмы и комп 1 раз перезагружался. Пипец...

    Поможите люди добрые. Заипался я совсем.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Спокойствие, только спокойствие как говорит Карлсон
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\ksdmac.dll','');
     QuarantineFile('D:\WINDOWS\smss.exe','');
    RebootWindows(true);
    end.
    возможно его друг или два , пришлите эти файлы .
    Последний раз редактировалось drongo; 19.03.2007 в 20:58.

  18. #17
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    38
    =( скрипт выполнил, однако ни в карантине ни на диске файлов нет. Между логом и скриптом была одна перезагрузка (по правилам млять! истерика... )

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Обнаружил Вашу старую тему. Там лечились от Look2Me.
    История повторяется. Если Look2MeDestroyer еще не удалили
    попробуйте его запустить. Он тоже перезагружает машину. Его протокол загрузите сюда.

    З.Ы.
    В скрипте последняя команда перезагружает компьютер.
    Повторюсь: "Спокойствие,спокойствие"
    Последний раз редактировалось PavelA; 20.03.2007 в 10:50.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,530
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\temp\\vir\\drf1173910330[1].html.exe - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
      2. d:\\windows\\system32\\ou1viewer.dll - Trojan-PSW.Win32.Maran.da (DrWEB: Trojan.PWS.Maran)


  • Уважаемый(ая) A4', наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Проверьте осталась ли какая-то зараза
      От Anton_Petrenko в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 28.04.2009, 06:33
    2. Какая-то очень противная хрень.
      От Аминазин в разделе Помогите!
      Ответов: 45
      Последнее сообщение: 08.12.2008, 15:29
    3. Хрень какая-то
      От Паук в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.07.2008, 21:24
    4. Сидит какая то хрень!
      От denlion в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.06.2008, 22:42
    5. Сидит какая то хрень!
      От denlion в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.06.2008, 20:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00940 seconds with 25 queries