Вирусы одолевают (

Printable View

01.10.2009, 02:10
Rubec

Вирусы одолевают (

Посмотрите плиз логи вирусы набедокурили ((
01.10.2009, 02:34
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(1);
QuarantineFile('C:\Documents and Settings\All Users\Документы\hhylxc.exe','');
DeleteFile('C:\Documents and Settings\All Users\Документы\hhylxc.exe');
QuarantineFile('C:\WINDOWS\system32\yblcmhx.dll','');
DeleteFile('C:\WINDOWS\system32\yblcmhx.dll');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteService('smdcp');
DeleteFile('C:\WINDOWS\system32\01.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dr.Web ® Engine','EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
01.10.2009, 09:19
Rubec

Вот логи, карантин выслал по ссылке вверху
01.10.2009, 09:37
Гриша

Выполните скрипт:

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\rubec\Application Data\S05-3636-T34636-7574-BLAZEBOT-ASGET-UEIAASH\winlogon.exe','');
DeleteService('nnxyebdnx');
DeleteFile('C:\WINDOWS\system32\04.tmp');
DeleteFile('C:\Documents and Settings\rubec\Application Data\S05-3636-T34636-7574-BLAZEBOT-ASGET-UEIAASH\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('nnxyebdnx');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
01.10.2009, 19:07
Rubec

компьютер на перезагрузке завис пришлось использовать ресет. Еще одно на сайт зайти не мог когда пришел проверил ДрВеб он нашел какую то длл в систем 32 и удалил, проверял в обычном режиме т.к. в безопасный режим не запускает комп перезагружается.
01.10.2009, 19:22
AndreyKa

[QUOTE='Rubec;477831']проверил ДрВеб он нашел какую то длл в систем 32 и удалил[/QUOTE]Эту C:\WINDOWS\system32\yblcmhx.dll ?

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(10);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\pjshrmbz.dll','');
DeleteFile('C:\WINDOWS\system32\pjshrmbz.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Обновления безопасности на Windows надо устанавливать. Лучше начать с [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация).
02.10.2009, 00:51
Rubec

Выслал

После перехода по ссылке СП3 и нажимаю кнопку загрузить файр фокс закрывается без всяких объяснений (
Есть улучшения в безопасном режиме загружается проверка ДрВеб в безопасном режиме ничего не обнаружила
И еще вопросик можно использовать АВЗ как стационарную систему защиты или он так не работает ? а то что то НОД32 вижу не справляется немного (

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 53 минуты[/I][/B][/color][/size]

pjshrmbz.dll есть подозрение что вот эта зверюка блокирует доступ к сайту вирусинфо и возможно к ДрВеб после удаления его скриптом по прошествии некоего времени (возможно были перезагрузки) он вновь объявился и все с тем же упорством создает проблемы с доступом к сайтам и возможно что то еще

Фойл вроде посылал из карантина по ссылке вверху страницы, проверьте пожалуйста что за зверь и как от него избавиться.
02.10.2009, 01:32
AndreyKa

AVZ можно использовать только как дополнение к настоящему антивирусу.
[QUOTE='Rubec;477891']НОД32 вижу не справляется[/QUOTE]Какая версия, базы от какого числа?
В карантин упомянутый файл не попал.
Выполните в AVZ скрипт из файла [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл c:\avz_log.txt
02.10.2009, 09:32
Rubec

Лезит из сети зараза НОД32 ругаеться на _http://10.0.144.107:4488/blyci делаю терминейт и скопировал в карантин, но после этого вторжения пропадает доступ к вирус инфо пока не удалю с помощью ДрВеб КурИт вышеупомянутую pjshrmbz.dl после удаления и перезагрузки связь с сайтом возобновляется, также блокирует доступ к сайту ДрВеб
02.10.2009, 13:34
Rubec

Версия НОД32 2,5 базы на сегодняшнее число

Карантин с длл и там еще что то выслал по правилам
Файл сохранён как 091002_133612_virus_4ac5c98c1ae7c.zip
Размер файла 179111
MD5 dd25003eaf14c5c39425c9f3e9adce3c
02.10.2009, 13:39
AndreyKa

Почитайте: [url]http://ru.wikipedia.org/wiki/Kido[/url]
В карантине dll снова нет. Nod её убивает, похоже. Посмотрите в логе Nod-а.
02.10.2009, 13:53
Rubec

Прочитал только вот что с ним делать так и не понял, т.к. когда есть доступ к сайту вирусинфо его в системе как бы нет убиваю предварительно дрВебом, а как предупредить его вторжение в систему так и не понял (

ммм странно НОД ругался но я после этого отключил его и пересоздал архив ... хм попробую еще раз

Файл сохранён как 091002_135717_virus1_4ac5ce7d69eb6.zip
Размер файла 428
MD5 815af0e6f3bab203f125a4599f221e2f
02.10.2009, 14:02
AndreyKa

Вроде, по русски написано:
[QUOTE]быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. [/QUOTE]
02.10.2009, 14:09
Rubec

Отключив эту службу не проникнет ? и второй вопрос при отключении этой службы будет ли возможность доступа к файлам и папкам другого компьютера в локальной сети и наоборот?

Открываю службы и вот такое вот там творится
02.10.2009, 14:23
AndreyKa

[size=4][B]Обновления безопасности на Windows надо устанавливать![/B][/size]

[QUOTE='Rubec;478337']при отключении этой службы будет ли возможность доступа к файлам и папкам другого компьютера в локальной сети и наоборот?[/QUOTE]От вас будет к вам нет.
02.10.2009, 14:29
Rubec

[QUOTE=AndreyKa;478353][SIZE=4][B]Обновления безопасности на Windows надо устанавливать![/B][/SIZE]
[/QUOTE]

Насчет этого я писал
[QUOTE]После перехода по ссылке СП3 и нажимаю кнопку загрузить, файр фокс закрывается без всяких объяснений ([/QUOTE]
и еще один вопрос эта дрянь ломится ко всем пользователям или к тем кого запомнил?

больше в логах ничего смертельного нет? и в АВЗ что то говорилось о потенциальных угрозах безопасности эти службы тоже отключить?
03.10.2009, 12:08
Rubec

SP3 установил, возможно как защититься не отключая службу сервер?
04.10.2009, 14:32
Rubec

появилась папка на диске Д a657031545db650b412b379b98b00c загрузил в архиве virus1 с паролем virus по ссылке вверху темы
Удалить папку не получается

Файл сохранён как 091004_143006_virus1_4ac8792ecf1f9.zip
Размер файла 2407024
MD5 f08e6811e776df4680187d96f8e7ca66

лог АВЗ прикладываю также сделал лог АВП тул
04.10.2009, 21:46
Rubec

ммм посмотрите плиз (
05.10.2009, 21:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\документы\hhylxc.exe - [B]Trojan.Win32.Autoit.xp[/B] ( DrWEB: Win32.HLLW.Autoruner.6013, BitDefender: Gen:Trojan.Heur.AutoIT.vmNfbeaEsLdc, AVAST4: Win32:Agent-AEEP [Trj] )[/LIST][/LIST]