Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

жуткая активность (заявка № 10471)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110

    Exclamation жуткая активность

    комп жутко тормозит процес csrss.exe в safe mode ел под 100% производительности
    откозал лпт порт
    после проверки cureati удалило 23 трояна но после этой проверки перестал запускаться IE
    в и нет зашол ведя в проводнике адрес сайта
    помогите кто может
    зарание благодарен
    в карантин попало 2 файла
    вам их выслать или пока рано?
    Последний раз редактировалось fotorama; 10.07.2007 в 15:08.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    в AVZ восстановление системы -- п.3,4,16
    А логи все равно потребуются. Старожил, а нарушаешь. ((
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    Цитата Сообщение от PavelA Посмотреть сообщение
    в AVZ восстановление системы -- п.3,4,16
    А логи все равно потребуются. Старожил, а нарушаешь. ((
    извеняюсь за запоздавшое добовление логов...
    просто с того компа это не получилось... пришлось идти к себе в кабинет..... сейчас все добавил жду укозаний
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    после проверки cureati удалило 23 трояна но после этой проверки перестал запускаться IE
    Старожил, а нарушаешь.
    Сторожил, а так и не научился комп защищать. Из рекомендаций книги Николая Головко наверное ни чего не соблюдаешь.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\retadpu27.exe','');
     QuarantineFile('C:\WINDOWS\System32\t0.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\retadpu27.exe');
     BC_QrSvc('xpdx');
     BC_DeleteSvc('xpdx');
     BC_DeleteFile('C:\WINDOWS\System32\xpdx.sys');
     BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам (приложение 3)
    и сделайте новые логи.
    I am not young enough to know everything...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    Цитата Сообщение от MaXim Посмотреть сообщение
    Сторожил, а так и не научился комп защищать. Из рекомендаций книги Николая Головко наверное ни чего не соблюдаешь.
    да не мой это комп.... это рабочии компы а книгу я уже несколько раз читал свой комп у мну в относительной безопасности..
    а на работе унас просто эпидемия сис админ неспровляеться и наменя половину валит что могу сам лечу(в силу своих юзерских возможностей)....
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    уточнение к предыдущиму посту это даже не мой рабочий комп а сатрудници...
    скрипт выполнил карантин выслало логи прилогаю
    файл загружен как
    Файл сохранён как070618_163334_virus.fotorama_46767b9e92aa2.zip
    Размер файла143995
    MD563f9174dc2ebfb40687700f4c0a36181
    кстате в логах фигурирует вот этот файлик C:\WINDOWS\System32\t0.dll что то меня терзают смутные сомненья на счет его или это системный?
    и еще насчет этого файлика не многоли у него записей?
    Код:
     O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
    и авз про него много пишет
    Код:
     Layered IP C:\WINDOWS\System32\t0.dll
    Скрипт: Kарантин, Удалить, Удалить через BC ()  
    Layered TCP/IP over [MSAFD Tcpip [TCP/IP]] C:\WINDOWS\System32\t0.dll
    Скрипт: Kарантин, Удалить, Удалить через BC ()  
    Layered UDP/IP over [MSAFD Tcpip [UDP/IP]] C:\WINDOWS\System32\t0.dll
    Скрипт: Kарантин, Удалить, Удалить через BC ()  
    Layered RAW/IP over [MSAFD Tcpip [RAW/IP]]
    Последний раз редактировалось fotorama; 10.07.2007 в 15:08.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    bot.dll - Trojan-Proxy.Win32.Xorpix.ar
    xpdx.sys - Trojan-Clicker.Win32.Costrat.e
    (эти уже удалены)
    t0.dll - что-то новенькое, пока ждем, и скачиваем утилиту WinSockFix:
    http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
    И еще ваш iexplore.exe пропатчен трояном, нужно восстановить его из дистрибутива, либо воспользоваться утилитой HaxFix:
    http://users.telenet.be/marcvn/tools/haxfix.exe
    I am not young enough to know everything...

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Собственно вот скрипт карантина:
    Код:
    begin
     QuarantineFile('nicm.sys','');
     QuarantineFile('C:\WINDOWS\System32\NWSHLXNT.dll','');
     QuarantineFile('C:\WINDOWS\System32\t0.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe','');
    end.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    И еще один момент:
    поищите через AVZ файл C:\WINDOWS\perfmon.exe
    Если найдется - пришлите по правилам, а если нет,
    откройте окошко командной строки, наберите:
    sc delete "Performance Monitor"
    и нажмите Enter.
    I am not young enough to know everything...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    Цитата Сообщение от Bratez Посмотреть сообщение
    И еще один момент:
    поищите через AVZ файл C:\WINDOWS\perfmon.exe
    Если найдется - пришлите по правилам, а если нет,
    откройте окошко командной строки, наберите:
    sc delete "Performance Monitor"
    и нажмите Enter.
    не нашол его удалил как вы сказали.....
    карантин закачал
    Файл сохранён как070618_170929_virus.fotorama_4676840941a61.zip

    Размер файла250926

    MD556d458944bc3a64b25f655378234dc3a

    вот этот в карантин не попал 'nicm.sys'

    авз написала следущее
    Код:
    Ошибка карантина файла "nicm.sys", попытка прямого чтения
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "nicm.sys", попытка прямого чтения
     Карантин с использованием прямого чтения - ошибка
    утилиты скачал
    Последний раз редактировалось fotorama; 18.06.2007 в 17:26.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    По поводу t0.dll надо все-таки дождаться ответа от ЛК, не будем спешить, хотя его зловредность практически очевидна. А IE можно сейчас восстановить. Если с дистрибутивом возиться неохота, инсталлируйте HaxFix, запускайте и выбирайте автоматический фикс.
    I am not young enough to know everything...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    Цитата Сообщение от Bratez Посмотреть сообщение
    По поводу t0.dll надо все-таки дождаться ответа от ЛК, не будем спешить, хотя его зловредность практически очевидна. А IE можно сейчас восстановить. Если с дистрибутивом возиться неохота, инсталлируйте HaxFix, запускайте и выбирайте автоматический фикс.
    понел щас зделаю
    еще вопрос а 2 утилита на что?
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    WinSocksFix может пригодиться потом, после удаления t0.dll, чтобы без интернета не остаться
    I am not young enough to know everything...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    Цитата Сообщение от Bratez Посмотреть сообщение
    WinSocksFix может пригодиться потом, после удаления t0.dll, чтобы без интернета не остаться
    понел
    1 утилита помогла ща уже с больного компа пишу
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Поздравляю, вы внесли свой скромный вклад в поимку нового зловреда,
    получившего имя Trojan.Win32.Agent.aph
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelSPIByFileName('t0.dll',true);
     DeleteFile('C:\WINDOWS\System32\t0.dll');
     AutoFixSPI;
     BC_DeleteFile('C:\WINDOWS\System32\t0.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Если после перезагрузки пропадет связь с интернетом, используйте WinSocksFix.
    Пофиксите в HijackThis:
    Код:
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
    O20 - Winlogon Notify: botreg - C:\WINDOWS\
    Сделайте новые логи.
    I am not young enough to know everything...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    а насчет этих строк что делать?
    Код:
    O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Если скрипт из #16 запускал, то должны исчезнуть.
    В противном случае поможет winsockfix.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.03.2007
    Адрес
    Златоглавая
    Сообщений
    739
    Вес репутации
    110
    Цитата Сообщение от PavelA Посмотреть сообщение
    Если скрипт из #16 запускал, то должны исчезнуть.
    В противном случае поможет winsockfix.
    да все изчезло, winsockfix запучкал без него почемуто рабочий стол глючил...
    логи прилогаю вроде все чисто но жудко тормозит
    Последний раз редактировалось fotorama; 10.07.2007 в 15:08.
    Незнание закона не освобождает от ответственности.
    Знание - запросто

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить в HijackThis:
    O20 - Winlogon Notify: botreg - C:\WINDOWS\

    Более ничего вредного не наблюдаю. Единственное, что волнует, отсутствие следов антивируса и файерволла.

    Да, еще SP1. Пора бы SP2 поставить с заплатками, вышедшими после него.
    Последний раз редактировалось PavelA; 19.06.2007 в 12:25. Причина: Забыл про SP2
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) fotorama, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. активность
      От Beasty в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 05.03.2012, 13:50
    2. Ответов: 11
      Последнее сообщение: 22.02.2009, 09:50
    3. Подозрительная активность почты
      От IndeeZ в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.02.2009, 14:46
    4. Жуткая работа ноутбука
      От Евгений Цветков в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.08.2008, 16:29
    5. Ответов: 6
      Последнее сообщение: 21.03.2008, 10:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00689 seconds with 19 queries