rundll32.exe достал

Printable View

Показывать 40 сообщений этой темы на одной странице

07.05.2010, 14:10
tu-104

Вложений: 1

rundll32.exe достал

Сабж. Запускается куча и не пропадает, пока руками не завершишь.

Из процесс експлорера:
Порождает их D:\WINDOWS\System32\svchost.exe -k netsvcs

Path: D:\WINDOWS\System32\rundll32.exe
CMD line: rundll32.exe zfyspqu.u,qrvnuvk (варьируется, rundll32.exe zfyspqu.u,mjynx или rundll32.exe zfyspqu.u,jbfau)

Что это такое?
Логи прилагаю.
ПС. АВЗ зачем-то убил альтернативный notepad.ехе, сказав, что это кейлоггер. Могу этот блокнот тоже приложить.
07.05.2010, 14:25
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\Documents and Settings\Владислав\s87ekhv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
07.05.2010, 14:56
tu-104

[QUOTE=V_Bond;633566]выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\Documents and Settings\Владислав\s87ekhv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи[/QUOTE]
s87ekhv удалил, сразу как логи запостил. Он, видимо, от какой-то заразы остался раньше. рундлл32 появляются...
07.05.2010, 16:26
polword

[QUOTE=V_Bond;633566]повторите логи[/QUOTE]
где они....
07.05.2010, 16:39
thyrex

Перед повторными логами

Пофиксите в hijack
[CODE]F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
O21 - SSODL: System - {8BFB3292-5AD6-45AD-BD91-32349C667819} - sysw.dll (file missing)[/CODE]

По симптомам похоже на то, что к Вам ломится Кидо
А вот система у Вас сплошное решето
[QUOTE]Platform: Windows [B]XP SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v6.00 SP2[/B] (6.00.2900.2180)[/QUOTE]Обновляться нужно. И чем быстрее, тем лучше для Вас
11.05.2010, 07:51
tu-104

[QUOTE=polword;633636]где они....[/QUOTE]
сейчас будут.
[QUOTE]Пофиксите в hijack
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
[/QUOTE]
сделал, хотя параметр userinit просто был написан не заглавными буквам, ничего криминального...
[QUOTE]А вот система у Вас сплошное решето[/QUOTE]
заплатки MS08-068, MS09-001, MS08-067 стоят. СП3 чего нет, того нет...
[QUOTE]По симптомам похоже на то, что к Вам ломится Кидо[/QUOTE]
Как узнать откуда? и уточнить, что это он?
11.05.2010, 09:05
thyrex

Лучше не уточнять откуда ломится Кидо, а обновлять систему

Пофиксите в HiJack
[CODE]O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url]
24.06.2010, 12:06
tu-104

[QUOTE=thyrex;635213]Лучше не уточнять откуда ломится Кидо, а обновлять систему

Пофиксите в HiJack
[CODE]O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url][/QUOTE]
сделал, кроме SP3, все также.
24.06.2010, 13:05
thyrex

[QUOTE='tu-104;659835']сделал, кроме SP3[/QUOTE]Вот потому и [QUOTE='tu-104;659835']все также.[/QUOTE]
15.07.2010, 07:21
tu-104

[QUOTE=thyrex;659865]Вот потому и[/QUOTE]
накатил вчера SP3, оставил на ночь.
сегодня опять эта хрень. (по времени показывает 21:41, в сети врядли кто-то еще был)
скрин с обновлениями. может еще чего?
15.07.2010, 08:06
thyrex

Вы установили все обновления, вышедшие после SP3?
15.07.2010, 08:19
tu-104

[QUOTE=thyrex;670431]Вы установили все обновления, вышедшие после SP3?[/QUOTE]
нет. их куча:(
15.07.2010, 08:26
thyrex

[QUOTE='tu-104;670432']нет. их куча[/QUOTE]Включите автоматическое обновление и система сама все скачает
15.07.2010, 10:07
tu-104

готово.
ну вот, все обновления с сайта установлены.
ВылеЗЛО снова.
15.07.2010, 18:05
polword

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
16.07.2010, 10:38
tu-104

лог
16.07.2010, 11:09
polword

1. удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\clinker.clinkerbho (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\clinker.clinkerbho.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c1a4652d-4cbe-485a-92a0-bdec9def0e2b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{866e38f6-b2f5-4c0e-b0b9-54b7d5bb8651} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7bcfd25-5c30-4bcf-9483-6f151a54f7c9} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные файлы:
D:\Documents and Settings\Владислав\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
QuarantineFile('D:\WINDOWS\system32\msconftb.sys','');
QuarantineFile('F:\work\Делфи\test\примеры, кнопки\FSG.EXE','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
16.07.2010, 12:58
tu-104

готово.
:\work\Делфи\test\примеры, кнопки\FSG.EXE' - это упаковщик ЕХЕшников
16.07.2010, 13:29
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('D:\WINDOWS\system32\msconftb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
19.07.2010, 08:00
tu-104

стандартные логи.
[QUOTE]- Сделайте лог MBAM[/QUOTE]
это на целый день. к вечеру будет готово :)
+снова скрин rundll
+лог мвам

Показывать 40 сообщений этой темы на одной странице