маил вара поймал

Printable View

13.06.2008, 17:53
denison

маил вара поймал

Собственно сабж. Архив с вирусом сейчас прикреплю.

Еще такой вопрос:
Фаирвол около месяца не регистрирует никаких атак, нетбиос запросов и вообще не видит никакой сетевой активности кроме своих программ, работающих через интернет (браузер, обновления и тд.). Это нормально? Пробовал ставить другую версию этого же фаирвола (Outpost), ставил другие фаирволы, везде тоже самое.

Прикрепил вирусный архив.
13.06.2008, 18:06
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('C:\Documents and Settings\ь.ъъъ.ь\Application Data\Mozilla\Firefox\Profiles\r85w5c7d.default\extensions\firebit@firebit\components\firebit.dll','');
DeleteFile('C:\Documents and Settings\ь.ъъъ.ь\Application Data\Mozilla\Firefox\Profiles\r85w5c7d.default\extensions\firebit@firebit\components\firebit.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=24556[/url] ).

Вот это Вам знакомо?
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
O17 - HKLM\System\CS1\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
O17 - HKLM\System\CS2\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
O17 - HKLM\System\CS3\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45[/code]
Если незнакомо, то пофиксите эти строчки в [url=http://virusinfo.info/showthread.php?t=4491]в HijackThis[/url].

Очистите временные папки и кеш браузера.
Сделайте новые логи.
13.06.2008, 18:08
drongo

c:\windows\system32\nwprovau.dll- Пришли по второму пункту правил копию, и не надо к теме ничего кроме логов прикреплять.
13.06.2008, 19:01
denison

Вложений: 1

[quote=kps;240504][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[code]...[/code]Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] [/QUOTE]
Готово.

[QUOTE]
Вот это Вам знакомо?
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
O17 - HKLM\System\CS1\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
O17 - HKLM\System\CS2\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
O17 - HKLM\System\CS3\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45[/code]Если незнакомо, то пофиксите эти строчки в [URL="http://virusinfo.info/showthread.php?t=4491"]в HijackThis[/URL].
[/quote]

10.0.0.45 - DNS сервер мой. Фиксить?
13.06.2008, 19:02
denison

[quote=drongo;240505]c:\windows\system32\nwprovau.dll- Пришли по второму пункту правил копию, и не надо к теме ничего кроме логов прикреплять.[/quote]

Добавил, но в карантине ничего не прибавилось, возможно он там уже есть.
13.06.2008, 19:14
drongo

firebit.dll - > not-a-virus:AdWare.Win32.Kitsune.b
больше фаербит не ставьте, это гадость.
13.06.2008, 19:21
denison

[quote=drongo;240523]firebit.dll - > not-a-virus:AdWare.Win32.Kitsune.b
больше фаербит не ставьте, это гадость.[/quote]

Загрузчик для letitbit.net? Давно знаю об этом, не ставил. Чудеса просто какие то.
13.06.2008, 21:39
denison

Вложений: 1

Все?
[CODE]spdj.sys
afw.sys
SandBox.sys[/CODE]
по прежнему находит.
Логи выложу через 3 минуты, предыдущие не дают загрузить, удалю их.
13.06.2008, 21:46
denison

Вложений: 1

Вот остальное, "virusinfo_syscure" не могу выложить, ругается даже если переименовать, говорит что уже есть такой архив в теме.
13.06.2008, 21:47
drongo

Hу так, а как же? ;) Мы же их не удаляли. :lol: Не всё что находит avz нужно удалять, об этом ясно написано. Что удалять решает хелпер ;)
это от ваших программ защиты(afw.sys ,
SandBox.sys -оутпост) и эмулятора дисков.( spdj.sys & co)

На вашем месте я бы прошёлся куритом, поставил ограниченного пользователя и конечно не забывать что есть noscript ;)
Больше ничего интересного не видно.
13.06.2008, 22:12
denison

[QUOTE]]На вашем месте я бы поставил ограниченного пользователя [/quote]

Так админскую учетку все равно взломать могут и параллельно с моей ограниченной сессией дел натворить, так я хоть вижу что у меня происходит (1 учетка админская, остальное выключено).
13.06.2008, 22:23
drongo

[quote=denison;240573]Так админскую учетку все равно взломать могут и параллельно с моей ограниченной сессией дел натворить, так я хоть вижу что у меня происходит (1 учетка админская, остальное выключено).[/quote]
ваши логи говорят об обратном :P
22.02.2009, 05:52
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\ь.ъъъ.ь\\application data\\mozilla\\firefox\\profiles\\r85w5c7d.default\\extensions\\firebit@firebit\\components\\firebit.dll - [B]not-a-virus:AdWare.Win32.Kitsune.b[/B] (DrWEB: Trojan.BitAcc.4)[/LIST][/LIST]