Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Помогите разобраться с червем (заявка № 10192)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39

    Exclamation Помогите разобраться с червем

    Червь Worm_Warczov.cp; Worm_stration.zp; possible_stray-6 пришли через Skype, Trend micro видит, убить не может- высылаю логи..
    Последний раз редактировалось volk; 05.06.2007 в 13:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Где логи?

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39
    Не прикрепляются логи. Есть-ли другой способ отправки Вам файлов?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Вот логи:
    Последний раз редактировалось Bratez; 10.01.2009 в 13:55.
    I am not young enough to know everything...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\SS617.EXE','');
     QuarantineFile('sdhccard.dll','');
     QuarantineFile('C:\WINDOWS\system32\syst1b3.dll','');
     QuarantineFile('C:\WINDOWS\system32\xvidusrc.dll','');
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Карантин пришлите согласно приложению 3 правил.
    Загружать через эту форму.
    В крайнем случае шлите мне на почту.

    P.S. xvidusrc.exe в первом карантине - Email-Worm.Win32.Warezov.ns
    убивать будем следующим ходом
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39

    Карантин выслал!!!

    Подскажите, что делать дальше?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Вы уж не путайте нас, товарищ Egorrr клялся что он ведёт дело Так что там у вас происходит? 2 разных темы на одну проблему- это слишком , я одну удалю - скажите какую .

  9. #8
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39
    Удаляй тему: Помогите разобраться с червем часть 2
    Я вчера с работы рано ушёл....
    Давай борьбу продолжим, а то народ без зарплаты останится

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    в следующий раз архивировать по правилам из АВЗ !!! Пришёл без пароля !


    C:\WINDOWS\system32\xvidusrc.exe
    C:\WINDOWS\TEMP\SS617.EXE
    C:\WINDOWS\system32\syst1b3.dll
    sdhccard.dll
    найти с помощью авз по пункту 2 правил , запаковать как указано и загрузить http://virusinfo.info/upload_virus.php?tid=10192.
    Последний раз редактировалось drongo; 06.06.2007 в 11:39.

  11. #10
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39
    По указанному пути avz ничего не нашёл...
    p.s. В моё отсутствие диск подсоединяли на отдельный комп, и сканили докторомВебом и трендмикро, может они их прибили?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Может и прибили, что тут скажешь... Вот интересно, когда механик крутит гайки под капотом Вашего авто, Вы становитесь рядом и начинаете крутить другие гайки?
    Сделайте новые логи, будем смотреть сначала.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39
    повторную диагностику запустил...

    По поводу гаек:

    Любые дела прожодят пять стадий:
    -шумиха;
    -неразбериха
    -поиск виноватых;
    -наказание невиновных;
    Награждение тех, кто не имеет к этому никакого отношения

  14. #13
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39

    повторные логи

    повторные логи
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis строчку:
    Код:
    O20 - Winlogon Notify: xvidusrc - C:\WINDOWS\system32\xvidusrc.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     BC_QrFile('C:\WINDOWS\system32\cpadvai.dll','');
     BC_QrFile('c:\windows\temp\kg32b6.exe','');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.
    Интересуют только два файла, указанные в скрипте. Если в карантине по-прежнему будет куча DLL от CryptoPro - их слать не надо. Только эти два.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39
    При запуске скрипта avz выдаёт ошибку: Too many actual Parameters в позиции 3:11

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Исправил:
    Код:
    begin
     ClearQuarantine;
     BC_QrFile('C:\WINDOWS\system32\cpadvai.dll');
     BC_QrFile('c:\windows\temp\kg32b6.exe');
    BC_Activate;
    RebootWindows(true);
    end.

  18. #17
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39
    Отлично!!! Скрипт отработал, комп рибутнулся, в карантине два файла: bcqr00001.ini, bcqr00001.ini. Их присылать?

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не надо.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    05.06.2007
    Сообщений
    15
    Вес репутации
    39

    Спасибо Вам за труд!!!!

    Спасибо Вам за ваш труд, и потраченое на меня время
    наша бухгалтерия Вам благодарна
    ________________
    Сергей

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В общем нужен контр. выстрел - новые логи после лечения. Если будут проблемы с загрузкой можно удалить старые.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) volk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите разобраться.
      От OnlyForYou в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 27.12.2009, 13:41
    2. Ответов: 16
      Последнее сообщение: 06.07.2009, 16:21
    3. Помогите: не справляюсь с червем Conficker
      От Focus42 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.05.2009, 21:25
    4. Помогите разобраться
      От simak27 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:35
    5. Помогите разобраться...
      От xromikigor в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 01:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00334 seconds with 17 queries