Показано с 1 по 14 из 14.

В TEMP появляются вирусы, drweb их не ловит, кто их плодит - непонятно. (заявка № 10408)

  1. #1
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    40

    Exclamation В TEMP появляются вирусы, drweb их не ловит, кто их плодит - непонятно.

    При старте системы иногда Outpost Firewall говорит, что разные процессы хотят изменить память процесса Explorer.exe. В Temp появляется куча exe-шников и dll-лек, эти exe-шники оказываются прописанными в автозагрузке. Их можно удалить из автозагрузки и стереть, но через пару дней начинается от же самое.
    Помогите найти процесс, который их плодит.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    У вас старый AVZ - текущая версия 4.25. Скачать ее можно здесь - http://z-oleg.com/avz4.zip . Хорошо бы повторить логи на ней.
    Последний раз редактировалось Numb; 15.06.2007 в 13:00.

  4. #3
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    40
    Пофиксил relive.dll, логи снял новым avz4, на всякий случай прилагаю Relive.dll в архие с паролем "virus". Дата у него подозрительная - сегодняшняя.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Подозрительное присылать по ссылке в шапке по правилам и никак иначе.Прочтите правила ещё раз.

    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
     QuarantineFile('E:\php5\ext\php_cb.dll','');
     QuarantineFile('E:\php5\ext\php_asn1.dll','');
     QuarantineFile('C:\WINDOWS\system32\TMSD7.bpl','');
    BC_ImportQuarantineList;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    2. Прислать весь карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10408

    до отсылки добавить внутрь полученного архива ваш relive.dll, а то он удаляется из-за правил
    Последний раз редактировалось drongo; 15.06.2007 в 13:56.

  6. #5
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    40
    Закачал, relive.dll не понял как добавить, winrar не смог добавить файл к запароленному архиву. Но похоже проблема в msvcrt.dll и romdrivers.dll, у них дата сегодняшняя и удаляться из c:\Program Files\Internet Explorer\ они не хотят.
    Последний раз редактировалось ShurickDRW; 15.06.2007 в 14:37.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Торопиться надо медленно. Проведем анализ присланного, а затем будет скрипт для удаления. Самодеятельность может привести к летальному исходу для Виндов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    40
    Я загрузился в safe mode, прибил в списке процессов explorer.exe, после этого смог удалить msvcrt.dll. Предварительно сохранил все удаленное в архиве. Хуже не стало, пока новых проявлений вируса не было, буду наблюдать.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Цитата Сообщение от ShurickDRW Посмотреть сообщение
    Закачал, relive.dll не понял как добавить, winrar не смог добавить файл к запароленному архиву. Но похоже проблема в msvcrt.dll и romdrivers.dll, у них дата сегодняшняя и удаляться из c:\Program Files\Internet Explorer\ они не хотят.

    Может, я всегда так делаю
    Когда просит пароль, вставить нужный , то есть virus
    А удалять пока команды не было, там пару безобидных файлов есть точно
    romdrivers.dll - тоже запаролить в ZIP архив (будте внимателны при выборе архивации в winrar,пароль : virus )и прислать по ссылке в шапке.

  10. #9
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    40
    Я отправил запароленный архив с romdrivers.dll и Relive.dll по ссылке в шапке. Както можно удостовериться, что они прикрепились к теме?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    romdrivers.dll - Virus.Win32.AutoRun.am
    Relive.dll - Trojan-Downloader.Win32.Agent.bmo
    (по Касперскому)
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    15.06.2007
    Сообщений
    18
    Вес репутации
    40
    Всем спасибо, надеюсь все вирусы прибиты. Я написал в Drweb, они добавили их к себе в базы.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Сделайте контрольный выстрел. То есть, новые логи.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Код:
    Здравствуйте,
    
    avz00001.dta, avz00006.dta, bcqr00003.dat, bcqr00004.dat
    
    Эти файлы повреждены.
    
    avz00002.dta
    
    Вредоносный код в файле не обнаружен.
    
    avz00003.dta, avz00005.dta, bcqr00001.dat, bcqr00002.dat - Trojan-Downloader.Win32.Agent.bmo,
    avz00004.dta - Virus.Win32.AutoRun.am
    
    Эти файлы определяются антивирусом. Обновите антивирусные базы.
    
    Пожалуйста, при ответе включайте переписку целиком.
    
    --
    С уважением, Юрий Несмачный
    Вирусный аналитик Лаборатории Касперского.
    e-mail: newvirus@kaspersky.com
    http://www.kaspersky.com/
    которые повреждены можно и удалить, хуже не будет

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\internet explorer\\msvcrt.bak - Worm.Win32.AutoRun.xy (DrWEB: Win32.HLLW.Autoruner.162)
      2. c:\\program files\\internet explorer\\msvcrt.dll - Trojan-Downloader.Win32.Agent.bmo (DrWEB: Win32.HLLW.Autoruner.162)
      3. c:\\program files\\internet explorer\\romdrivers.bak - Worm.Win32.AutoRun.unj (DrWEB: Win32.HLLW.Autoruner.157)
      4. \\relive.dll - Trojan-Downloader.Win32.Agent.bmo (DrWEB: Win32.HLLW.Autoruner.162)
      5. \\romdrivers.dll - Worm.Win32.AutoRun.adv (DrWEB: Win32.HLLW.Autoruner.157)


  • Уважаемый(ая) ShurickDRW, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 19
      Последнее сообщение: 06.02.2012, 18:17
    2. Ответов: 3
      Последнее сообщение: 24.08.2011, 11:00
    3. постоянно появляются exe в папке temp (заявка №37760)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 17.11.2010, 18:00
    4. Ответов: 9
      Последнее сообщение: 23.02.2010, 15:38
    5. В папке Temp появляются файлы winХХ.tmp
      От Slawik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 01:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00937 seconds with 17 queries