короче в дровах к купленой видюхе походу есть жизнь......
доктор веб кричит что это
Win32.Alman.1
начал руатсья на экзешки расположеные на различных локальных дисках, ппц((((
Запустил скрипт в авз4, ниже логи, пожалуйста помогите замочить паразита.
Помогите пожалуйста Win32.Alman.1
короче в дровах к купленой видюхе походу есть жизнь......
доктор веб кричит что это
Win32.Alman.1
начал руатсья на экзешки расположеные на различных локальных дисках, ппц((((
Запустил скрипт в авз4, ниже логи, пожалуйста помогите замочить паразита.
Последний раз редактировалось Макcим; 10.11.2007 в 09:11. Причина: Убрал virusinfo_cure.zip
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
а ещё вот авз написал , как это исправить скажите пожалуйста, я никому доступ не открывал, юзаю фаирвол +
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Добавлено через 13 минут
после перезагрузки как попросила программа AVZ, доктор веб начл ещё сильнее ругатсья , зараженых фаилов стало ещё больше(((( что делать помогите
до AVZ он сидел тихо и мирно пачти.
Добавлено через 2 минуты
жессссть он стал жрать всё подряд((((((((((((((
Добавлено через 10 минут
как его отсановить((((
Последний раз редактировалось flashback; 10.11.2007 в 02:43. Причина: Добавлено
Win32.Alman - файловый вирус. Вот пример: http://www.viruslist.com/ru/viruses/...virusid=156642 . Соответственно, лечить его нужно - загружайтесь в безопасном режиме и запускайте полную проверку антивирусом (в идеале - записать свежий cureit с чистой машины на cd - болванку и запустить проверку им). Проверку следует повторять несколько раз, до тех пор, пока названный вирус не перестанет обнаруживаться. А логов по правилам я не вижу. Virusinfo_cure.zip - карантин AVZ - Уберите его из вложений в теме и загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=14039 . И с нетерпением ждем, когда появится лог исследования системы и лог Hijackthis.
вложеные фаилы не удаляются, пишет что нет прав....
поповоду ссылки на пример, исполняемых фаилов и ключа в рестре нету(((((((((
уежаю из города на сутки, поставлю полную проверку вебом в сэфе моде,
скажите какие фаилы сканить маски фаилов, exe точно, ещё видел .sys файл в дровах в виндир...или все фаилы проверять?
Полная проверка - это проверка всех файлов
по приезду оформлю топик по всем правилам...
извините...
Ждем
только приехал домой доктор веб закончил проверку. заражено и излечено больше ста файлов, проверял в безопасном режиме....
читаю рулес.док ОТКЛЮЧАЮ востановление ситстемы в БЕЗОПАСНОМ РЕЖИМЕ,
читаю дальше рулес, думаю нафик я это сделал...
перегружаю комп чтоб начать проверку и сбор инфы по скрипту для virusinfo.info
гружу в нормал
жду.... после загрузки (бегающих кубиков)) на пол секунды синий экран и комп автоматом ребут!!!!!!!
я в шоке... лезу опять в безопасный, чтобы включить востановление системы..
и что я вижу(((( - извините в сэфе моде нельзя включить востановление сист.. плиз подгрузитесь в нормал режиме...
это ппц... приплыли(
пожалуйста скажите что делать.
я дурак внимательно ен просмотрел все фаилы тронутые вебом.
бегло оббежал - одни екзешки полеченые, ну и выключил веб, в логах что то нету ничего по проверке полной.
помогите что делать???
и ещё пару вопросов:
1. если я всё же смогу включить востановление системы, я смогу откатить систему на момент ещё живых екзешников моих((( ? когда их ещё вирус не побил,
2. как можно проверить на наличие вируса папку востановление системы, и где она назодиться?
Добавлено через 2 минуты
скажите как мне или избавиться от этог осинего экрана, или включить систем рестор?
Последний раз редактировалось flashback; 11.11.2007 в 15:35. Причина: Добавлено
System Volume Informationкак можно проверить на наличие вируса папку востановление системы, и где она назодиться?
Раз отключили восстановление, значит папка уже очищена, и это хорошо.
Сделайте в безопасном такой лог:
http://virusinfo.info/showthread.php?t=10387
и лог HijackThis.
I am not young enough to know everything...
Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
----
протоколы и логи с HijackThis. сейчас выложу
Последний раз редактировалось flashback; 11.11.2007 в 16:42.
Пофиксьте:
Выполните скрипт:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [WinSysW] H:\WINDOWS\swchost.exe
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('H:\WINDOWS\swchost.exe',''); DeleteFile('H:\WINDOWS\swchost.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
сори перезалил
извините...
что значит профиксить?
всё сделал....
а как нормальный режим системы вернуть(?
И еще один скрипт:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\WINDOWS\IGW.exe',''); QuarantineFile('H:\WINDOWSsystem32\drivers\nvmini.sys',''); DeleteFile('H:\WINDOWS\IGW.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
карантин выслан
Trojan-PSW.Win32.Lmir.bos H:\WINDOWS\IGW.exe
Trojan-PSW.Win32.OnlineGames.hfr H:\WINDOWS\swchost.exe
По окончании лечения смените все пароли
swchost.exe - Trojan-PSW.Win32.OnLineGames.hfr
IGW.exe - Trojan-PSW.Win32.Lmir.bos
К сожалению в предыдущий скрипт вкралась ошибка
Выполните такой скрипт :
После перезагрузки пришлите новый карантин.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\WINDOWS\system32\drivers\nvmini.sys',''); DeleteFile('H:\WINDOWS\IGW.exe'); DeleteFile('H:\WINDOWS\swchost.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
все пароли в инэте? О_о или на машине?
делаю скрипт перегружаюсь
Добавлено через 1 минуту
5 минут все будет готово...
Добавлено через 9 минут
карантин выслан,
интересует такой вопрос эти трояны плоды работы Win32.Alman ???
или они давно в системе сидят, возможно ли узнать дату их появления...
и разве тини фаервол не мог блокировать их?
Последний раз редактировалось flashback; 11.11.2007 в 17:35. Причина: Добавлено
Уважаемый(ая) flashback, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
