PDA

Просмотр полной версии : AVZ выдал подозрение на Trojan



Профан(ка)
26.01.2006, 23:09
Здравствуйте, это опять я, у которой был "синий экран". По совету форумчан поудаляла старые игры, ТТТ проблема с "синим экраном" вроде бы исчезла. Но вот просканировала AVZ и в протоколе увидела подозрение на Trojan. Посмотрите, пожалуйста результаты, правда есть бяка?

Профан(ка)
26.01.2006, 23:11
Вот на всякий случай еще - если это не лишнее.

Geser
26.01.2006, 23:36
C:\Documents and Settings\jesse\Local Settings\Temporary Internet Files\Content.IE5\MJYRAPYR\RU[1].exe
этот файл нужно прислать

А так вроде ничего не видно. А Антивирус лучше поменять.

Профан(ка)
27.01.2006, 00:09
C:\Documents and Settings\jesse\Local Settings\Temporary Internet Files\Content.IE5\MJYRAPYR\RU[1].exe
этот файл нужно прислать

А так вроде ничего не видно. А Антивирус лучше поменять.
Файл пришлю, антивирус собираюсь поменять, но никак не определюсь какой. Касперского мне отсоветовали системщики на работе - говорят сильно грузит машину. Так чего взять-то лучше?

Профан(ка)
27.01.2006, 00:24
Ничего не понимаю - все делаю как в правилах - добавляю в карантин - выдает "процесс добавления файлов завершен" - иду дальше в "просмотр карантина" - слева стоит дата 27.01.2006, а в правом поле пусто - ничего не добавилось - уже и вручную набирала файл и с форума полность копировала - не дает и все - что бы это значило?:embarasse

MOCT
27.01.2006, 00:47
Ничего не понимаю - все делаю как в правилах - добавляю в карантин - выдает "процесс добавления файлов завершен" - иду дальше в "просмотр карантина" - слева стоит дата 27.01.2006, а в правом поле пусто - ничего не добавилось - уже и вручную набирала файл и с форума полность копировала - не дает и все - что бы это значило?:embarasse
а "противодействие RootKit" включено было?

pig
27.01.2006, 01:05
Вариант: Перегрузиться в безопасный режим, войти под учётной записью администратора и скопировать файл в AVZ.

Профан(ка)
27.01.2006, 07:33
а "противодействие RootKit" включено было?
А где оно включается?:?
А в безопасном режиме перезагрузилась - то же самое:embarasse .
Теперь только вечером буду пробовать что-то делать - целый день у этого компа меня не будет.

anton_dr
27.01.2006, 10:00
А где оно включается?:?

АВЗ - Параметры поиска - блокировать работу RootKit User-Mode, блокировать работу RootKit Kernel-Mode

Профан(ка)
27.01.2006, 18:18
АВЗ - Параметры поиска - блокировать работу RootKit User-Mode, блокировать работу RootKit Kernel-Mode
Все сделала как Вы написали - то же самоу - ничего не получается.:?
Но я ведь уже делала это раньше - все получалось, а сейчас не дает и все - почему?:embarasse

Geser
27.01.2006, 18:47
Так может файла нет уже давно. Он же во временных файлах был

Профан(ка)
27.01.2006, 22:17
Так мне тогда что еще раз просканировать и сделать лог AVZ и выложить его или это лишнее?

anton_dr
28.01.2006, 09:47
Сделайте, что бы убедиться, что все чисто.

Профан(ка)
28.01.2006, 20:59
Просканировала, похоже этот файл на месте:embarasse
Почему же AVZ не дает мне его добавить в карантин?

Профан(ка)
28.01.2006, 21:03
Вот еще на всякий случай, хотя он, похоже такой же, как был:?

Geser
28.01.2006, 22:16
Напиши в командной строке

copy C:\Documents and Settings\jesse\Local Settings\Temporary Internet Files\Content.IE5\MJYRAPYR\RU[1].exe c:\virus.exe
Потом этот файл c:\virus.exe заархивируй с паролем и пришли

Профан(ка)
28.01.2006, 23:00
Напиши в командной строке

copy C:\Documents and Settings\jesse\Local Settings\Temporary Internet Files\Content.IE5\MJYRAPYR\RU[1].exe c:\virus.exe
Потом этот файл c:\virus.exe заархивируй с паролем и пришли
Я жутко извиняюсь, но учитывая свой ник, позволю спросить - в командной строке - это имеется в виду где адрес, например в Rambler пишется (если там, то я скопировала туда ссылку, сообщили, извините, найти не можем, пришлите нам - надо щелкнуть там? - или я все совсем не то делаю и имеется в виду командная строка AVZ?

MOCT
28.01.2006, 23:21
Я жутко извиняюсь, но учитывая свой ник, позволю спросить - в командной строке - это имеется в виду где адрес, например в Rambler пишется (если там, то я скопировала туда ссылку, сообщили, извините, найти не можем, пришлите нам - надо щелкнуть там? - или я все совсем не то делаю и имеется в виду командная строка AVZ?
в операционной системе нажать кнопку "ПУСК", потом нажать пункт "Выполнить...", туда скопировать-вставить указанную команду, потом нажать "ОК".

Профан(ка)
28.01.2006, 23:57
в операционной системе нажать кнопку "ПУСК", потом нажать пункт "Выполнить...", туда скопировать-вставить указанную команду, потом нажать "ОК".
Честно говоря, устала вас всех мучить, но я сделала так как описано выше - сообщение "Windows не удалось найти "copy" провереьте что имя было введено правильно и повторите попытку" - проверила, вводила и без "copy" - то же сообщение. Видимо, у самой у меня ничего не получиться.
Вообще в принципе, это сильно настораживает, может стоит вызвать "доктора" на дом или все не так страшно? Прошу сильно меня не ругать и тапками не бросаться:'-(
Просто если я сильно надоела можете не отвечать - не обижусь, а я уже , наверное, порядком надоела вам всем своей "некомпетентностью", Sorry.

Dime3us
29.01.2006, 00:11
Попробуйте в "выполнить" вставить это
C:\WINDOWS\system32\cmd.exeи нажать ок
А уже в появившееся окно вставьте код который привел Geser и нажмите ентер.

HATTIFNATTOR
29.01.2006, 00:19
кавычки забыли

Geser
29.01.2006, 00:21
Угу, правильно так:

copy "C:\Documents and Settings\jesse\Local Settings\Temporary Internet Files\Content.IE5\MJYRAPYR\RU[1].exe" c:\virus.exe

Профан(ка)
29.01.2006, 00:35
Все три последних совета выполнила - эффект тот же - системе не удается найти, разница лишь в том, что если сначала вводить
C:\WINDOWS\system32\cmd.exe выходит видимо в NC, учитывая черный экран, дальше пишу вручную, так как из Винда, естестено туда не копируется, но тоже пишет, что системе не удается найти:embarasse .

HATTIFNATTOR
29.01.2006, 00:53
Попробуйте поискать файл в безопасном режиме как описано здесь - http://www.securinfo.ru/SearchAvz
По имени RU*.exe

Убедитесь что файл найден и попробуйте скопировать его в карантин из окна поиска.
Если файл скопируется в карантин, - заархивируйте и пришлите.

agnec
29.01.2006, 01:03
C:\WINDOWS\system32\cmd.exe выходит видимо в NC
если под "nc" подразумевается "norton commander", то это не так. просто открывается окно интерпретатора команд операционной системы. в нем можно вводить целую кучу разных полезных команд. в первую очередь рекомендую команду "help". в ответ вывалится краткое описание остальных возможных команд. среди них будет и "copy". чтобы посмотреть подробное описание этой команды надо набрать "help copy" или "copy /?". если файл есть в логах, но не находится при попытке его скопировать, то возможно кто-то его крепко держит :( я бы посоветовал загрузиться с livecd и запустить avz оттуда. тогда держать файл будет точно некому ;)

Профан(ка)
29.01.2006, 09:52
я бы посоветовал загрузиться с livecd и запустить avz оттуда. тогда держать файл будет точно некому ;)
Livecd это что? В смысле в безопасном режиме?. Сейчас убегаю, через пору-тройку часов вернусь, все сделаю как посоветовали - про безопасный режим поняла, сделаю, а вот еще что значит Livecd:?

Профан(ка)
29.01.2006, 14:35
Попробуйте поискать файл в безопасном режиме как описано здесь - http://www.securinfo.ru/SearchAvz
По имени RU*.exe

Убедитесь что файл найден и попробуйте скопировать его в карантин из окна поиска.
Если файл скопируется в карантин, - заархивируйте и пришлите.
Ничего не находит

Скажите, как это запуститься с livecd?

anton_dr
29.01.2006, 14:39
LiveCD - это CD с установленной на нем операционной системой (т.е. не требующий установки). Позволяет почти полноценно работать на компьютере в случае упавшей или зараженной винды.

Профан(ка)
29.01.2006, 14:47
LiveCD - это CD с установленной на нем операционной системой (т.е. не требующий установки). Позволяет почти полноценно работать на компьютере в случае упавшей или зараженной винды.
Ну такого у меня нет, т.е. это не установочный диск, насколько я поняла. Надо будет поспрошать насчет такого диска, а то эта бяка, которая у меня пока мирно сидит и дремлет, я так понимаю в один прекрасный день может приподнести мне сюрприз:* интересно какого вида сюрприз это будет?

Профан(ка)
31.01.2006, 12:38
Нашла я LiveCD c XP :) - вечером вернусь домой буду заниматься. Что мне нужно сделать - диск запустить, потом вроде бы перезагрузиться и уже потом сначала снова просканировать AVZ или просто сразу искать этот подозрительный файл с помощью AVZ? Подскажите, плиззз:D

anton_dr
31.01.2006, 12:42
Сразу искать.

Профан(ка)
31.01.2006, 22:00
Сразу искать.
Да легко сказать.
Темная я совсем, видать. Ну поставила я диск, ну перезагрузилась, сам он не запускается, вошла через мой компьтер на диск D (CD-DVD), вошла в autoran, там ссылка [autorun]
open=Programs\nu2menu\nu2menu.exe, а в папке Programs\nu2menu\ файла nu2menu.exe не вижу. Ну внизу "пуск" появляется другим шрифтом, а дальше-то что? Чего сделать-то, чтобы через этот диск входить в папки:? ? На "пуск" нажимаю, там соотвественно все на английском, но выхода в каталог папок нету вроде, но как запустить AVZ в этом режиме-то?:'-( Чааааго нажать-то?
Тапками прошу не кидаться - ну лох я в этом деле, хотя вроде не совсем тупая, если мне объснить, должна сообразить:*

pig
01.02.2006, 01:28
Надо перезагрузиться, на перезагрузке войти в настройки BIOS, выставить CD-DVD первым загрузочным устройством. Тогда загрузитесь не в свою систему, а непосредственно с этого сидюка. Если он, конечно, действительно LiveCD.

Профан(ка)
01.02.2006, 22:03
Я вроде бы нашла указанный файл при загрузке с LiveCD, правда не спомощью AVZ, так как она оттуда запускается, но вместо меню там одни вопросики (????????) стоят, но я его без AVZ нашла в каталоге. Отправила его по e-mail. Напишиет хоть пришло или нет и вообще, то ли я отправила:? .
Заранее дико извиняюсь:D

Shu_b
01.02.2006, 22:17
Присланный файл - Dialer.Wanadoo (DrWeb)

Профан(ка)
01.02.2006, 22:21
Присланный файл - Dialer.Wanadoo (DrWeb)
Спасибки, конечно, я только что на их сайте проверила ентот файл On-line и он мне то же самое и сказал
Dr.Web (R) daemon for FreeBSD v4.33 (4.33.0.09211)
Copyright © Igor Daniloff, 1992-2005

Last update (http://download.drweb.com/bases/) time: 2006-02-01,19:06:59

File size: 8126 bytes


RU1.zip - archive ZIP
>RU1.zip/RU[1].exe504 packed by UPX
In file >>RU1.zip/RU[1].exe504 found virus Dialer.Wanadoo




Close window

А чего мне с ним теперь делать-то - насколько это опасно и как его удалить или чего с ним делать?:?

MOCT
01.02.2006, 22:26
А чего мне с ним теперь делать-то - насколько это опасно и как его удалить или чего с ним делать?:? [/CENTER]
опасно - если пользуетесь интерентом через модем, то может позвонить в другую страну без вашего ведома и потом придет громадный счет за телефонные переговоры...

поищите на диске файл dtemp2.exe, если есть - пришлите.

Профан(ка)
01.02.2006, 22:35
опасно - если пользуетесь интерентом через модем, то может позвонить в другую страну без вашего ведома и потом придет громадный счет за телефонные переговоры...

поищите на диске файл dtemp2.exe, если есть - пришлите.

Обычный поиск ничего не дал, а в какой папке его искать неизвестно?
Может тогда опять через LiveCD его поискать и заархивироват если найдет?
Кстати, по-поводу звонков в другую страну - СТРИМа это тоже касается?

agnec
01.02.2006, 22:36
как что делать ? лечить конечно :) тем же drweb-ом и лечить, раз он его знает. но в принципе для диалеров лечение простое - удалить нафиг и дело с концом ;) ну и поискать откуда он запускался и там упоминание про него удалить.
если у вас обычный модем, то диалер будет его использовать, а если adsl, то его ждет разочарование :) но лечиться все равно надо.

Профан(ка)
01.02.2006, 22:42
как что делать ? лечить конечно :) тем же drweb-ом и лечить, раз он его знает. но в принципе для диалеров лечение простое - удалить нафиг и дело с концом ;) ну и поискать откуда он запускался и там упоминание про него удалить.

Спасибки, конечно, я понимаю, что лечить, но, во-первых, DrWeb у меня не установлен, это была проверка On-line по Инету, а стоит у меня Norton (знаю, знаю, что плохо, тапками не бросайтесь, собираюсь заменить, никак не могу определиться на что - маюсь Касперского или Веба взять )
А удалить на фиг как - найти его - находится только через LiveCD - и прямо оттуда удалить, так как Нортон мой благополучно молчит о его присутствии:'-(
А как поискать откуда он запускался, подскажите, плиззз:*

Кстати, модем, у меня, слава богу, ADSL, так что пусть разочаровывается

Профан(ка)
01.02.2006, 22:54
поищите на диске файл dtemp2.exe, если есть - пришлите.

AVZ тоже не обнаружил:?

Sanja
02.02.2006, 00:29
присланный файл - RU[1].zip содержит вирус - надо удалить

anton_dr
02.02.2006, 07:49
Можно скачать Dr.Web Cureit http://download.drweb.com/drweb+cureit/
Загрузиться с live CD и полечить. А если и там будут ???????????? как в АВЗ, запустите файлик из этой темы, должно помочь.
http://virusinfo.info/showthread.php?t=4601

Профан(ка)
02.02.2006, 09:05
Можно скачать Dr.Web Cureit http://download.drweb.com/drweb+cureit/
Загрузиться с live CD и полечить. А если и там будут ???????????? как в АВЗ, запустите файлик из этой темы, должно помочь.
http://virusinfo.info/showthread.php?t=4601
Эту штуку (DrWeb Curiet) я уже вчера загрузила, в обычном режиме она ничего вообще у меня не обнаружила.
Спасибо большое за совет, сегодня вечером попробую с LiveCD, а е сли не получится, то воспользуюсь второй ссылкой. Только скажите, это нужно запустить сначала на моей обычной Винде, чтобы она там сохранилась, а потом уже перезагрузиться с LiveCD?

anton_dr
02.02.2006, 09:21
Эту штуку (DrWeb Curiet) я уже вчера загрузила, в обычном режиме она ничего вообще у меня не обнаружила.
Спасибо большое за совет, сегодня вечером попробую с LiveCD, а е сли не получится, то воспользуюсь второй ссылкой. Только скажите, это нужно запустить сначала на моей обычной Винде, чтобы она там сохранилась, а потом уже перезагрузиться с LiveCD?
Dr.Web Cureit надо запустить с live CD.
По второму - запускать загрузившись с live CD, причем, после каждой загрузки с него, скорее всего, придется запускать его снова.

Профан(ка)
02.02.2006, 09:45
По второму - запускать загрузившись с live CD, причем, после каждой загрузки с него, скорее всего, придется запускать его снова.
То, что с LiveCD, это я поняла, но сначала-то мне его нужно скачать себе на диск С с моей обычной Винды, чтобы он там уже был - это я правильно поняла?, (или я немного не в тему - типа "тук-тук -тук" - "сиди, я сам открою"), а то с LiveCD я в Инет-то вряд ли войду

anton_dr
02.02.2006, 09:47
Разумеется, нужно скачать его предварительно.

Sanja
02.02.2006, 18:41
Можно еще каспа 6го попробовать ради интереса если ничего не помогли еще

Профан(ка)
02.02.2006, 22:17
Фух, ну вот я закончила вроде бы борьбу с червем при помощии DrWeb причем кроме того, что он нашел и вроде бы удалил Dialer.Wanadoo с которым все вы мне помогали здесь бороться, за что вам огромное спасибо, он еще нашел и опять же вроде бы удалил Trojan.Isbar.408 кстати, если можно, расскажите чем грозит этот зверь.
Теперь я точно решила поменять свой NA на Dr.Web (причем собираюсь его завтра же поехать и купить в офис их дилера в Москве).
А вообще, спасибо огромное всем, кто мне помогал, кто терпел мою деревянность во всех этих компьютерно-вирусных делах. Если будут проблеммы, надеюсь, не откажете в помощи и в будущем.
На всякий случай сделала новые логи (правда, каюсь, предварительно не делала обычное полное сканирование AVZ):'-( , но если это необходимо - сделаю.
Посмотрите, удалилась ли бяка, которая была.
Заранее спасибо всем, отличный форум и отличные спецы.:)