Червь Worm_Warczov.cp; Worm_stration.zp; possible_stray-6 пришли через Skype, Trend micro видит, убить не может- высылаю логи..
Червь Worm_Warczov.cp; Worm_stration.zp; possible_stray-6 пришли через Skype, Trend micro видит, убить не может- высылаю логи..
Последний раз редактировалось volk; 05.06.2007 в 14:15.
Где логи?
Не прикрепляются логи. Есть-ли другой способ отправки Вам файлов?
Вот логи:
Последний раз редактировалось Bratez; 10.01.2009 в 13:55.
I am not young enough to know everything...
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\SS617.EXE',''); QuarantineFile('sdhccard.dll',''); QuarantineFile('C:\WINDOWS\system32\syst1b3.dll',''); QuarantineFile('C:\WINDOWS\system32\xvidusrc.dll',''); QuarantineFile('C:\WINDOWS\system32\cpadvai.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Карантин пришлите согласно приложению 3 правил.
Загружать через эту форму.
В крайнем случае шлите мне на почту.
P.S. xvidusrc.exe в первом карантине - Email-Worm.Win32.Warezov.ns
убивать будем следующим ходом
I am not young enough to know everything...
Подскажите, что делать дальше?
Вы уж не путайте нас, товарищ Egorrr клялся что он ведёт дело Так что там у вас происходит? 2 разных темы на одну проблему- это слишком , я одну удалю - скажите какую .
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Удаляй тему: Помогите разобраться с червем часть 2
Я вчера с работы рано ушёл....
Давай борьбу продолжим, а то народ без зарплаты останится
в следующий раз архивировать по правилам из АВЗ !!! Пришёл без пароля !
C:\WINDOWS\system32\xvidusrc.exe
C:\WINDOWS\TEMP\SS617.EXE
C:\WINDOWS\system32\syst1b3.dll
sdhccard.dll
найти с помощью авз по пункту 2 правил , запаковать как указано и загрузить http://virusinfo.info/upload_virus.php?tid=10192.
Последний раз редактировалось drongo; 06.06.2007 в 12:39.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
По указанному пути avz ничего не нашёл...
p.s. В моё отсутствие диск подсоединяли на отдельный комп, и сканили докторомВебом и трендмикро, может они их прибили?
Может и прибили, что тут скажешь... Вот интересно, когда механик крутит гайки под капотом Вашего авто, Вы становитесь рядом и начинаете крутить другие гайки?
Сделайте новые логи, будем смотреть сначала.
I am not young enough to know everything...
повторную диагностику запустил...
По поводу гаек:
Любые дела прожодят пять стадий:
-шумиха;
-неразбериха
-поиск виноватых;
-наказание невиновных;
Награждение тех, кто не имеет к этому никакого отношения
повторные логи
Пофиксите в HijackThis строчку:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: xvidusrc - C:\WINDOWS\system32\xvidusrc.dll (file missing)
После перезагрузки пришлите карантин по правилам.Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\system32\cpadvai.dll',''); BC_QrFile('c:\windows\temp\kg32b6.exe',''); BC_Activate; RebootWindows(true); end.
Интересуют только два файла, указанные в скрипте. Если в карантине по-прежнему будет куча DLL от CryptoPro - их слать не надо. Только эти два.
I am not young enough to know everything...
При запуске скрипта avz выдаёт ошибку: Too many actual Parameters в позиции 3:11
Исправил:
Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\system32\cpadvai.dll'); BC_QrFile('c:\windows\temp\kg32b6.exe'); BC_Activate; RebootWindows(true); end.
Отлично!!! Скрипт отработал, комп рибутнулся, в карантине два файла: bcqr00001.ini, bcqr00001.ini. Их присылать?
Не надо.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо Вам за ваш труд, и потраченое на меня время
наша бухгалтерия Вам благодарна
________________
Сергей
В общем нужен контр. выстрел - новые логи после лечения. Если будут проблемы с загрузкой можно удалить старые.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) volk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.