Printable View
Подозреваю что словил троянов, на одном крупном игровом портале.. нод ничего незаметил...
подозреваю эти файлы:
C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
-отправил вам для проверки...
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('PowerManager');
QuarantineFile('C:\WINDOWS\system32\drivers\CDAC11BA.EXE','');
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UpdateService\ISUSPM.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteService('PowerManager');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
Если вы не используете [url]www.netpede.com[/url] то:
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netpede.com/ [/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Это не хорошо выполнить скрипт:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
end.
Эти параметры вы изменяли?
[CODE]
>> Заблокирована настройка автоматического обновления
>> Таймаут завершения служб находится за пределами допустимых значений[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[QUOTE=SOKOL;160455]
C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
-отправил вам для проверки...[/QUOTE]
Нет их:(
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Installer\a2fbf.msi','подозрение на Trojan-Downloader.Win32.Zlob.eih');
QuarantineFile('C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe','подозрение на Trojan-Downloader.Win32.Zlob.eih');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
Да необходимо повторить логи :)
[QUOTE=akoK;160472]
Эти параметры вы изменяли?
[CODE]
>> Заблокирована настройка автоматического обновления
>> Таймаут завершения служб находится за пределами допустимых значений[/CODE]
[/QUOTE]
Ага, я менял, делаю обновления вручную ежедневно)
все пофиксил, все выполнил, отправил:
Файл сохранён как 071214_062653_virus_4762768db97cf.zip
Размер файла 723255
MD5 97929e65e8b5f2c940e75e9b637c8553
сейчас новые логи буду делать)
вот -_-
C:\WINDOWS\system32\r_server.exe сами устанавливали Remote Administrator
[QUOTE=akoK;160534]C:\WINDOWS\system32\r_server.exe сами устанавливали Remote Administrator?[/QUOTE]
вообще было дело, давно правда, но потом удалял о_О
Remote Administrator удаляем и пара файлов для успокоения души
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('r_server');
QuarantineFile('C:\WINDOWS\system32\r_server.exe','');
QuarantineFile('C:\Games\Lineage2 C4 + патчи (форсаж)\Lineage2 C4\system\npkcrypt.sys','');
QuarantineFile('c:\huadio.tmp','');
DeleteFile('C:\WINDOWS\system32\r_server.exe');
BC_ImportALL;
DeleteService('r_server');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
Опять же если не используете то:
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O9 - Extra button: Cool Flash Player - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\PROGRA~1\CFLASH~1\source.html
O9 - Extra 'Tools' menuitem: &Search SWF Files - {1DD00580-1EBE-11D6-B336-95364C649934} - C:\PROGRA~1\CFLASH~1\source.html
O9 - Extra button: Отправить статью или интересную работу на [email protected] - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:[email protected]?subject=I_want_to_send_you_article&body=Hello___Nikolay (file missing)
O9 - Extra 'Tools' menuitem: Отправить свою статью или интересную чужую работу на [email protected] - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:[email protected]?subject=I_want_to_send_you_article&body=Hello___Nikolay (file missing) [/CODE]
Файл сохранён как 071214_080858_virus_47628e7a077fe.zip
Размер файла 1762
MD5 badf1350ef0a706b697592261dd65e5f
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
AVZ попрежнему находит :
3. Сканирование дисков
C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
Неужели это не вирус? О_о
[QUOTE=SOKOL;160564]Файл сохранён как 071214_080858_virus_47628e7a077fe.zip
Размер файла 1762
MD5 badf1350ef0a706b697592261dd65e5f
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
AVZ попрежнему находит :
3. Сканирование дисков
C:\WINDOWS\Installer\a2fbf.msi/{MS-OLE}/\72 >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe >>> подозрение на Trojan-Downloader.Win32.Zlob.eih ( 0052C8D7 08CD5FC5 001C13F0 001FD6D9 135168)
Неужели это не вирус? О_о[/QUOTE]
Эти файлы только уходили в карантин на иследование :)
[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]
C:\WINDOWS\Installer\{896D642C-7125-44F0-AC49-A23ABF82209C}\ARPPRODUCTICON.exe - [B]чист[/B]
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX - надо сбросить настройки IE по дефолту
Больше ничего не вижу :) какие проблемы остались?
P.S. По C:\WINDOWS\Installer\a2fbf.msi ответ будет позже (хотя я подозреваю, что все впорядке)
да проблем нету, были подозрения))) да и файл както странно называется оО
большое спасибо =)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\mp3 player utilities 4.00\\deldrv.exe - [B]not-a-virus:RiskTool.Win32.Deleter.e[/B][/LIST][/LIST]