Показано с 1 по 13 из 13.

Помогите! (заявка № 10058)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    10
    Вес репутации
    39

    Exclamation Помогите!

    После ошибки amon.sys NOD32 и удаления этого нода, перестал включаться эксплорер - ошибка msdom2.dll нет, опера постоянно выключается, magent сломался...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\vp6dec_settings.cpl','');
     QuarantineFile('C:\Documents and Settings\Паша\Шаблоны\A.kotnorB.com','');
     QuarantineFile('C:\WINDOWS\System32\mswsock.dll','');
     QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
     QuarantineFile('C:\WINDOWS\System32\8-march.scr','');
     QuarantineFile('C:\WINDOWS\System32\Crack.exe','');
     QuarantineFile('C:\Documents and Settings\Паша\Local Settings\Application Data\smss.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     DeleteFile('C:\Documents and Settings\Паша\Local Settings\Application Data\smss.exe');
     DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Паша\Local Settings\Application Data\smss.exe"
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Mutant Посмотреть сообщение
    После ошибки amon.sys NOD32 и удаления этого нода
    давайте не будем играть в загадки и отгадки : какая была ошибка?

  5. #4
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    10
    Вес репутации
    39
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    давайте не будем играть в загадки и отгадки : какая была ошибка?
    Был синий экран при загрузке 0x00000050: PAGE_FAULT_IN_NONPAGED_AREA
    Ошибка в amon.sys
    В безопасном режиме удалил НОД32

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Скрипт выполнили? Карантин прислали? Где логи?

  7. #6
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    10
    Вес репутации
    39
    Выполнил, карантин прислал
    Файл сохранён как 070528_185807_virus_465aedff41ad0.zip
    Размер файла 527367
    MD5 d806afc3d7fd6dd8dd4c3c1da77d4fc1
    Логи сейчас будут

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Mutant Посмотреть сообщение
    Был синий экран при загрузке 0x00000050: PAGE_FAULT_IN_NONPAGED_AREA
    Ошибка в amon.sys
    В безопасном режиме удалил НОД32
    Идея обновить НОД Вас не посетила? Вообще-то эта ошибка НОД связана с устаревшим драйвером Nvidia : http://support.microsoft.com/?scid=k...2635&x=14&y=14
    Карантин проверяется, ждем логи.

  9. #8
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    10
    Вес репутации
    39
    Нод каждый день обновлял
    Логи готовы
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Mutant Посмотреть сообщение
    Нод каждый день обновлял
    я имел ввиду не базы, а программу . Логи щас посмотрим , пока посмотрите результаты ВирусТотал
    Complete scanning result of "oreans32.sys", received in VirusTotal at 05.28.2007, 17:16:04 (CET).

    Antivirus Version Update Result
    CAT-QuickHeal 9.00 05.28.2007 Rootkit.Agent.ad

    Aditional Information
    File size: 33952 bytes
    MD5: aad837bf3b475092fd515cd0842334e9
    SHA1: 2f845acac30e40d5aea3ccf8d02f5226089366a5

    Complete scanning result of "338.tmp", received in VirusTotal at 05.28.2007, 17:15:22 (CET).

    Antivirus Version Update Result
    AntiVir 7.4.0.27 05.28.2007 HEUR/Malware
    Fortinet 2.85.0.0 05.28.2007 PossibleThreat
    F-Secure 6.70.13030.0 05.28.2007 W32/Malware
    Ikarus T3.1.1.8 05.28.2007 Trojan-Spy.Win32.Goldun.lw
    Sophos 4.18.0 05.28.2007 Mal/Binder-C
    Webwasher-Gateway 6.0.1 05.28.2007 Heuristic.Malware

    Aditional Information
    File size: 98008 bytes
    MD5: 1b386a7f6eb10dfa93922e3b6e47796f
    SHA1: bb968aecf4c3bdcee9a687dba36c6af5c1019669

    Complete scanning result of "chist[1].exe", received in VirusTotal at 05.28.2007, 17:15:10 (CET).

    Antivirus Version Update Result
    AntiVir 7.4.0.27 05.28.2007 HEUR/Malware
    Fortinet 2.85.0.0 05.28.2007 PossibleThreat
    F-Secure 6.70.13030.0 05.28.2007 W32/Malware
    Ikarus T3.1.1.8 05.28.2007 Trojan-Spy.Win32.Goldun.lw
    Norman 5.80.02 05.28.2007 W32/Malware
    Sophos 4.18.0 05.28.2007 Mal/Binder-C
    Webwasher-Gateway 6.0.1 05.28.2007 Heuristic.Malware

    Aditional Information
    File size: 98008 bytes
    MD5: 1b386a7f6eb10dfa93922e3b6e47796f
    SHA1: bb968aecf4c3bdcee9a687dba36c6af5c1019669

    Complete scanning result of "ipv6monl.dll", received in VirusTotal at 05.28.2007, 17:15:52 (CET).

    Antivirus Version Update Result
    AntiVir 7.4.0.27 05.28.2007 HEUR/Malware
    Ikarus T3.1.1.8 05.28.2007 Trojan-Spy.Win32.BZub.ip
    McAfee 5039 05.25.2007 Spy-Agent.ba.gen
    Sophos 4.18.0 05.28.2007 Mal/Cimuz-A
    Webwasher-Gateway 6.0.1 05.28.2007 Heuristic.Malware

    Aditional Information
    File size: 66240 bytes
    MD5: e9b530eef9219e2fe5f339eb0902d352
    SHA1: 93823f55be38eb64b9a24f8c54a2a5645527efbe
    Последний раз редактировалось Rene-gad; 28.05.2007 в 18:34.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Mutant Посмотреть сообщение
    ошибка msdom2.dll нет
    iexplore.exe пропатчен трояном, как я понимаю. С выпадением NOD32 в осадок, скорее всего, просто совпало по времени. Или же выпадение было спровоцировано зверьём. Так что упомянутый файл надо взять с чистой системы (той же версии) или из дистрибутива. А вообще настоятельно рекомендуется накатить сверху Service Pack 2 и много-много заплаток россыпью. Тогда есть надежда, что в следующий раз придёте лечиться не на следующей неделе.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    edit: выполните очистку реестра ручками. Тут все написано: http://www.trendmicro.com/vinfo/viru...2ECLN&VSect=Sn
    Цитата Сообщение от pig Посмотреть сообщение
    Тогда есть надежда, что в следующий раз придёте лечиться не на следующей неделе.
    думаю, что минут через 15 - среднестатистическая продолжительность незапятнаной жизни непатченной системы составляет 12 мин (Данные Sophos) . Дряни , как и следовало ожидать, полно. Вдобавок к непатченому Винду ещё и устаревшая Опера.
    Для начала очистите систему от мусора: http://virusinfo.info/showthread.php...ewpost&t=10025
    Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     BC_DeleteFile('C:\WINDOWS\System32\vp6dec_settings.cpl');
     BC_DeleteFile('C:\Documents and Settings\Паша\Шаблоны\A.kotnorB.com');
     BC_DeleteFile('C:\WINDOWS\System32\8-march.scr');
     BC_DeleteFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и повторите логи + boot_clr.log
    iexplore.exe пропатчен трояном, как я понимаю
    если установите СП2 - установите и IE7. Иначе поступите так, как написал pig - хотя это всё равно не надолго
    Последний раз редактировалось Rene-gad; 28.05.2007 в 19:11.

  13. #12
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    10
    Вес репутации
    39
    Все сделал, boot_clr.log не могу найти
    Вложения Вложения

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\шурик\\local settings\\temporary internet files\\content.ie5\\mwf1qbvn\\chist[1].exe - Trojan-Spy.Win32.BZub.if (DrWEB: Trojan.Popuper.497
      2. c:\\program files\\internet explorer\\iexplore.exe - Trojan.Win32.Patched.w
      3. c:\\windows\\system32\\ipv6monl.dll - Trojan-Spy.Win32.BZub.ip (DrWEB: Trojan.Popuper)
      4. c:\\windows\\system32\\mswsock.dll - Trojan-Proxy.Win32.Delf.an (DrWEB: Trojan.Proxy.1829)
      5. c:\\338.tmp - Trojan-Spy.Win32.BZub.if (DrWEB: Trojan.Popuper.497


  • Уважаемый(ая) Mutant, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00105 seconds with 17 queries