PDA

Просмотр полной версии : Обратите внимание



Spirit
07.02.2006, 17:11
Опять эта вещь......Вылетают все возможные сайты которых я даже не открываю...Посмотрите пожалуйста на логи...Заранее спасибо

Geser
07.02.2006, 17:53
C:\DOCUME~1\8CE6~1\LOCALS~1\Temp\lta1.tmp
d:\firefox.exe
c:\winnt\shost.exe
c:\windows\winsysban5.exe
c:\winsysban5.exe
C:\WINNT\system32\gpp0l37m1.dll
C:\WINNT\system32\rifsaps.dll
c:\windows\winsysupd5.exe
c:\\gimmygames.exe
C:\WINNT\system32\ujib.dll
C:\WINNT\system32\rifsaps.dll
C:\WINNT\system32\lzcmgr10.dll
C:\WINNT\system32\kpdru.dll
C:\WINNT\webhdll.dll

Перечисленные файлы найти и прислать как описано в правилах

RiC
07.02.2006, 17:58
Так-же ещё вот эти в посылку добавьте -
c:\program files\network monitor\netmon.exe
C:\WINNT\System32\ztoolb011.dll
ctfmon.exe
C:\WINNT\8eD44A\command.exe
C:\WINNT\MSmedia.exe

MOCT
07.02.2006, 21:12
d:\firefox.exe
Перечисленные файлы найти и прислать как описано в правилах
УМОЛЯЮ!!! не надо присылать файл d:\firefox.exe (это обычная Мозилла и весит 7 мегабайт, я не хочу скачивать лишних 7 мегабайт)

файлы ctfmon.exe пришлите все, сколько найдете.

в HiajckThis пофиксите строки:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINNT\System32\ztoolb011.dll (file missing)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd5.exe
O4 - HKLM\..\Run: [gimmygames] c:\\gimmygames.exe
O4 - HKLM\..\Run: [ntdll.dll] C:\windows\winsysupd5.exe
O4 - HKLM\..\Run: [winsysban] c:\\winsysban5.exe
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ-4\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ-4\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINNT\system32\gpp0l37m1.dll
O20 - Winlogon Notify: tcpQ32 - tcpQ32.dll (file missing)
O21 - SSODL: mtklefap - {34247666-7DE3-49A2-3581-688EDF54BA70} - (no file)
O23 - Service: Lprc71nxc - Корпорация Майкрософт - (no file)
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe

Geser
07.02.2006, 21:15
УМОЛЯЮ!!! не надо присылать файл d:\firefox.exe (это обычная Мозилла и весит 7 мегабайт, я не хочу скачивать лишних 7 мегабайт)

Ох, я перепутал PID с размером :) А я думаю что он такой маленький, подозрительно :)

Alexey P.
08.02.2006, 10:35
Странно, что нет еще этого файла (в безопасном режиме виден): C:\WINNT\system32\drivers\sysbus32.sys
и его перехвата в логе AVZ.
Не успел обновиться, видимо, оно свежее совсем.
Заразу поймал явно через IE, как раз этот набор файлов выдается с серверов toolbarnew.biz и К.

Зайцев Олег
10.02.2006, 09:55
Файлы пришли:
command.exe, ctfmon.exe - Virus.Win32.Parite.b
network monitor\netmon.exe - Monitor.Win32.NetMon.a, особой опасности не несет
в остальных файлых нашлось несколько зверей, я только что обновил базя - советую обносить их через Файл/Обновление баз, просканировать AVZ и скинуть новые логи.

Shu_b
10.02.2006, 11:04
в остальных файлых нашлось несколько зверей.... :) несколько.... (по DrWeb)

c:\\gimmygames.exe - инфицирован Trojan.DownLoader.6759
c:\program files\network monitor\netmon.exe - инфицирован Trojan.DnsChange
c:\windows\winsysban5.exe - инфицирован Trojan.Popuper
c:\windows\winsysupd5.exe - инфицирован Trojan.StartPage.1227
C:\WINNT\8eD44A\command.exe - инфицирован Win32.Parite.2
c:\winnt\shost.exe - инфицирован BackDoor.IRC.Sdbot.351
C:\WINNT\System32\ctfmon.exe - инфицирован Win32.Parite.2
C:\WINNT\system32\kpdru.dll - упакован FAKENEO - программа-AdWare Adware.Look2me
C:\WINNT\system32\rifsaps.dll - упакован FAKENEO - программа-AdWare Adware.Look2me
C:\WINNT\webhdll.dll - программа-AdWare Adware.WebHancer
c:\winsysban5.exe - инфицирован Trojan.Popuper

Spirit
10.02.2006, 16:32
Обновил базу,просканировал,выставил новые логи AVZ......... Что делать с файлами которые выложил Shu_b?

MOCT
10.02.2006, 16:36
Обновил базу,просканировал,выставил новые логи AVZ......... Что делать с файлами которые выложил Shu_b?
а Вы вообще почту читаете? я же еще вчера написал:



все файлы кроме C:\WINNT\System32\ctfmon.exe можно удалить, а его -
лечить