Машина себя странно ведет

Printable View

03.03.2008, 21:34
taishigo

Машина себя странно ведет

Уважаемые здравствуйте, помогите пожалуйста
03.03.2008, 22:00
akok

DameWare Mini Remote Control - сами устанавливали?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\services.exe','');
QuarantineFile('C:\WINDOWS\system32\cliconf.dll','');
QuarantineFile('C:\WINDOWS\vcdplayx.exe','');
QuarantineFile('C:\Program Files\ltmoh\Ltmoh.exe','');
QuarantineFile('AGRSMMSG.exe','');
QuarantineFile('C:\WINDOWS\system32\l33t.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\kbd.sys','');
QuarantineFile('c:\program files\yandex\online\online.exe','');
DeleteFile('C:\WINDOWS\system32\cliconf.dll');
DelBHO('{00D072A3-0380-4D22-9B43-EBA6CFCFF70F}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19066[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Поищите припомощи AVZ - [b]msbasic.exe, PIADA.HTM, msrunl.exe, msinit.txt[/b]

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

И пришлите их согласно правил.

Повторите логи
04.03.2008, 09:28
taishigo

Архив отправил,
файлы не нашел
повторная проверка выполняется

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Агнитум оутпост сообщает время от времени
что служба services.exe
обращается к удаленному адресу 195.5.116.252:3603
что это может быть ?
04.03.2008, 09:48
akok

В карантин не попали l33t.exe и services.exe пришлите согласно правил

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Адрес знаком?
[quote]195.5.116.252
s26.esthost.eu
Хост доступен, в среднем 1096 мсек

195.5.116.0 - 195.5.117.255

Compic Ltd.
Estonia

Roman Ivanov
Voru 1-28
13612, Tallinn
Estonia
phone: +3726321028

Roman Ivanov
Voru 1-28
13612, Tallinn
Estonia
phone: +3726321028

EE-COMPIC
Источник: whois.ripe.net[/quote]
04.03.2008, 10:23
taishigo

нет адрес не знаком

вот повторные логи
04.03.2008, 10:26
taishigo

повторно отослал карантин
04.03.2008, 13:59
rubin

AGRSMMSG.exe, Ltmoh.exe, MM43.cab, MSIA.cab, MSIE.cab, MSIHND.cab, MSIMSG.cab, MSISIP.cab, online.exe, RICH20.cab, vdp.cab

Чистые

cliconf.dll, cliconf.dll.unp - [b]Rootkit.Win32.Podnuha.ae[/b]
kbd.sys - [b]Trojan.Win32.Inject.zs[/b]

Сейчас напишу скрипт...

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Выполните:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\cliconf.dll');
DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys');
BC_ImportDeletedList;
BC_DeleteSvc('kbd');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
l33t.exe поищите через avz и отдельно пришлите
04.03.2008, 16:31
taishigo

l33t.exe не найден
скрипт выполнил
теперь наружу лезет файл CTFMONA.EXE пришлось его заблокировать

логи будут позже, как только avz сделает

[size="1"][color="#666686"][B][I]Добавлено через 1 час 21 минуту[/I][/B][/color][/size]

не могу выложить логи - сумма вложений превысила мой предел :(
что делать ?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

не могу выложить логи - сумма вложений превысила мой предел :(
что делать ?
04.03.2008, 16:52
rubin

В Моем кабинете удалите старые вложения
04.03.2008, 17:04
taishigo

А где этот кабинет, и где можно почитать про удаление из кабинета ?
(извиняюсь за дремучую необУчённость :))
04.03.2008, 17:05
rubin

[url]http://virusinfo.info/usercp.php[/url]
04.03.2008, 17:06
V_Bond

[URL=http://radikal.ru/F/i009.radikal.ru/0803/cc/edba6f369821.jpg.html][IMG]http://i009.radikal.ru/0803/cc/edba6f369821t.jpg[/IMG][/URL]
04.03.2008, 18:07
taishigo

спасибо разобрался с кабинетом

вот логи
04.03.2008, 18:12
rubin

Выполните
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
DeleteFile('C:\WINDOWS\system32\l33t.exe');
DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
BC_ImportAll;
BC_DeleteSvc('l33t');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Пришлите новый карантин, повторите логи с п.10 Правил
04.03.2008, 19:03
taishigo

вот новые логи
карантин выслал
04.03.2008, 20:16
rubin

Еще жалобы?
05.03.2008, 08:34
taishigo

Спасибо, вроде этот пупсик одумался :)
22.02.2009, 04:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cliconf.dll - [B]Rootkit.Win32.Podnuha.ae[/B] (DrWEB: Trojan.DownLoader.56883)[*] c:\\windows\\system32\\ctfmona.exe - [B]not-a-virus:Downloader.Win32.WinFixer.ed[/B] (DrWEB: Trojan.DownLoader.49587)[*] c:\\windows\\system32\\drivers\\kbd.sys - [B]Trojan.Win32.Inject.zs[/B] (DrWEB: Trojan.Inject.777)[/LIST][/LIST]