А здесь - по забитому первому заражённому
Всё же интересно: почему так произошло?
Сча попробую на экспериментальный поставить НОД32 (здесь опять уже поставил) и попробую поймать тот svchostesc http://203.223.158.169, если его оттуда уже не снесли.
Надо ли заново переставлять софтину на рабочий раздел или я всё же добился своего?
Если что нужно - Я пока здесь :-)
Последний раз редактировалось serjga; 29.07.2008 в 18:32.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Итак:
Машину видимо портит тот скрипт на сломанном сайте так, чтобы при загруженном НОДе тачка перегружалась. НЕТ? Потому, что просто при загрузке файла (и это разумеется) ничего не портится.
Высылаю вам файлы с карантина и закачанный с того Малазийского сервака svchostes.exe. Или они у Вас уже есть? Вы об этом не сообщили.
ПРичем интресно: до подтверждения загрузки появился маленький файлик в темпах (Begin_DL.zip), потом, когда он загрузился и его поймал НОД - большой в другом месте темпов (end_DL.zip), а уже БЕЗ НОДа - весь целиком (Without_NOD_DL.zip)! Почему перед подтверждением загрузки он уже лез на машину? И почему размер закаченного с НОДом отличался от закаченного БЕЗ НОда?
Ну и карантин. Там почему-то содержание их СОВСЕМ другое в отличии от закачанных - ПОЧЕМУ?
Скажите, а можно было поправить винду, НЕ снося НОД? Или просто что-то в нём было испорчено?
И надо ли всё же переставлять систему с софтом?
Что дальше?
СПАСИБО!
ответ из ЛК:
Здравствуйте,
svchostes[1].exe_ - Trojan-Spy.Win32.Goldun.os
Этот файл определяется антивирусом. Обновите антивирусные базы.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Time Module Object Name Threat Action User Information
01.06.2007 17:53:07 AMON file svchostes[1].exe a variant of Win32/Spy.Goldun.NAT trojan quarantined - deleted Event occurred on a new file created by the application: C:\Program Files\WinRAR\WinRAR.exe. The file was moved to quarantine. You may close this window.
Про какую переписку Вы говорите?
Это стандартная строчка из ответа от ЛК. Ваш карантин до них доехал.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Понятно.
Спасибо!
Жду ответа про надобность перезаливки тачки и причину такого поведения после заражения-лечения, а также про надобность дальнейшего исследования вылеченных-НЕвылеченных разделов (жмут объёмы).
Жду ответа!
Спасибо!
Все чисто.Знач так: сначала по экспериментальному чистому разделу
Все чисто.А здесь - по забитому первому заражённому
Проблема решена?
Доброго Вам здоровья!Сообщение от MaXim
Причина моего молчания - отключение меня от инета всвязи с заявлениями в письменной форме о некачественной услуге: инет "падает" несколько раз в час, тормозит часто, что продолжается уже больше года. Милиция подключилась, шантажируют и угрожают. Сейчас пишу от друзей с работы.
Кто знает - куда можно обратиться - ПОМОГИТЕ! Пресса? СМИ?
Насчёт разделов: проблем вроде пока нет, хотя я не всё ещё пробовал. И дело даже не в вирусах - я же их проверял с другого чистого активного раздела, а в корректной работоспособности софта после заражения-лечения. НОД32 пришлось же снести для корректной работы системы! В том-то и вопрос!
Спасибо!
Жду ответа.
К другому провайдеру, ясно море!Кто знает - куда можно обратиться - ПОМОГИТЕ!
Бывают конечно проблемы такого рода, ничего не поделаешь, лес рубят - щепки летят. Но здесь уже помочь в рамках этого форума далеко не всегда возможно. Программы, переставшие корректно работать, следует деинсталлировать, удалить их рабочие папки и по возможности ключи в реестре, затем установить и настроить заново.дело даже не в вирусах ... а в корректной работоспособности софта после заражения-лечения.
I am not young enough to know everything...
Уважаемый!
Другой провайдер в другом городе!
У меня нет столько денег, чтобы в нашем городе прокопать себе другого провайдера. А Ваше предложение - признание правоты и хамства нашего провайдера, который пьёт кровь уже не один год!
Ставить антену или через JPRS - не выход, а, если выход, то временный! А как участвовать в войнах гильдий? Через антену или JPRS? НЕРЕАЛЬНО!
Значит мои разделы сохранённые больше не интересны? ЧТО порушилось в НОД32, что система перезагружалась? Если на ЭТО ответа нет или разделы больше не нужны - так и скажите: СНОСИ
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) serjga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
