-
Виновен интернет..
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\ieupdater[1].exe','');
QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\8LEVWPQV\ieupdater[1].exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a03bogrq.SYS','');
QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('c:\documents and settings\kirill\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\kirill\local settings\application data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\msftp.dll');
DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\8LEVWPQV\ieupdater[1].exe');
DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\ieupdater[1].exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0009788.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0010916.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0010919.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdater[10.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdater[1].exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdr2.exe');
DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ie_updates3r.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17685[/url]
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
[/CODE]
Повторите логи
[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]
Господин [b]psw[/b] предложил интересную мысль использовать devcon от Микрософта [url]http://support.microsoft.com/kb/311272[/url] для определения устройства
-
spool.exe (2 штуки) удаляются из процессов. cftmon.exe (и он запускает второй cftmon.exe) после удаления возникают снова.
В procexp можно посмотреть threads от cftmon.exe. Как я понимаю, он "тесно общается" с kernel32.dll и msftp.dll и, тем самым, постоянно "потребляет" процессорное время от ~5 до 8%. А вся эта "система" после перезагрузки и захода в интернет с кем-то "общается"...
-
вы скрипт выполнили ... ?
где новые логи ?
-
сейчас выполнять буду... я не успел прочесть, только потом увидел.
-
Вложений: 3
[quote=akoK;185748]
Господин [B]psw[/B] предложил интересную мысль использовать devcon от Микрософта [URL]http://support.microsoft.com/kb/311272[/URL] для определения устройства[/quote]
Скрипт выполнил, карантин прислал, прикладываю логи. В HiJackThis не было тех 4 строчек, которые надо было фиксить.
Devcon скачал, подскажите, пожалуйста, как составить командную строку для моего случая.
-
в логах не видно ничего зловредного ...
какие проблемы остались ?
-
Получается команда вида
[quote]devcon hwids PCI\VEN_10DE выдаст список устройств от nVidia (ven_10de)[/quote]
-
[quote=V_Bond;185930]в логах не видно ничего зловредного ...
какие проблемы остались ?[/quote]
По-видимому, только с этим "девайсом". Но все же странно, как так один и тот же "троян" появляется через некоторое время снова? Никаких файлов подозрительных не запускали...
Попробовать поменять пароль администратора?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=akoK;185943]Получается команда вида[/quote]
подскажите, как сделать, чтобы окно оставалось после выполнения команд?
-
Пуск - выполнить - cmd
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote]. Но все же странно, как так один и тот же "троян" появляется через некоторое время снова? Никаких файлов подозрительных не запускали...[/quote]
Отключите на браузере JS, а еще лучше юзайте под ограниченным пользователем:)
-
[quote=akoK;185952]Пуск - выполнить - cmd
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
Отключите на браузере JS, а еще лучше юзайте под ограниченным пользователем:)[/quote]
код экземпляра устройства очень длинный... на команду
C:\Program Files\devcon\i386>devcon.exe -hwids pci\ven_10de&dev_044a&subsys_10ec0888&rev_a1
я получил список ID NVidia и в конце:
15 matching device(s) found. "dev_044a" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. "subsys_10ec0888" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. "rev_a1" не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
JavaScript отключил (просто Java и JRE к этому совету, как я понимаю, не относятся?), а вот как использовать браузер под ограниченным пользователем, не понимаю.. ? это где-то присваивается?
-
Если это действительно nVidia, то можно попробовать переставить драйвер.
-
Нет вы просто создаете учетную запись с ограниченными правами и все:)
-
[quote=akoK;185996]Нет вы просто создаете учетную запись с ограниченными правами и все:)[/quote]
;) Спасибо за помощь! Не думаю, что учетная запись такого рода поможет :) А все-таки, отключенный JS что-нибудь дает? На некоторых сайтах пишут "у вас отключен яваскрипт, сайт не будет корректно работать" - что-нибудь в этом духе... Это с сайта знакомств.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 31 минуту[/I][/B][/COLOR][/SIZE]
переустановил драйвера NVidia. Попробовал установку драйверов для этого девайса автоматом - не нашлись, оставил галку, чтоб не напоминали больше. Но устройство никуда не делось... Заметил я нечто забавное... Сегодня в папке Windows/system32/ появился странный новый файл FNTCACHE.DAT Это было до переустановки драйверов. После удаления он все равно обновлялся... Никаких schedule и проверок у меня никакими программами не назначено - откуда это (весом примерно 1,5 Мб), непонятно.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 час 13 минут[/I][/B][/COLOR][/SIZE]
[URL]http://eitnetwork.utoledo.edu/und_docs/Security/Public/newvirus.htm[/URL] вот что дал поиск в гугле ... интересно, это может быть как-то связано с восстановлением трояна?
-
Файл согласно правил пришлите
-
-
Вложений: 3
Опять появились msftp.dll, а потом появился spool.exe
На нашем компьютере два пользователя, я спрашивал маму - она ни на какие баннеры не кликала, ничего подозрительного не запускала... Короче, она соображает. Но в первую очередь msftp.dll обнаружился в папке ее документов - может ли троян где-то [I]тихо сидеть[/I] у другого пользователя? Какой у этого механизм, мне непонятно.
Прикладываю логи, согласно правилам.
-
были ли в прошлый раз при исследовании замечены файлы settings.sfm и settingsbkup.sfm ? А еще, в первый раз, обратил свое внимание на появление непонятных файлов типа :
BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx , BMXCtrlState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx
BMXState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx
BMXStateBkp-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx
DVCState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx
DVCStateBkp-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx
поиск в Гугле дал мне интересную ссылку
[url]http://www.thetechguide.com/forum/lofiversion/index.php/t25271.html[/url]
P.S. Восстановление системы я пока не включал.
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
QuarantineFile('C:\Documents and Settings\Mama\Local Settings\Application Data\cftmon.exe','');
DeleteFile('C:\Documents and Settings\Mama\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\msftp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17865[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
[/CODE]
-
[quote=wise-wistful;187074]
...
2.Пофиксить в HijackThis следующие строчки ( [URL]http://virusinfo.info/showthread.php?t=4491[/URL] )
[code]O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
[/code][/quote]
Скрипт выполнил, карантин прислал (по правилам). В HijackThis опять таких строчек не нашел :O
Логи сделать новые?
-
Строчек не было - это хорошо. С логами немного погодите посмотрим, что в карантине.
Page generated in 0.00487 seconds with 10 queries