-
жуткая активность
комп жутко тормозит процес csrss.exe в safe mode ел под 100% производительности
откозал лпт порт
после проверки cureati удалило 23 трояна но после этой проверки перестал запускаться IE
в и нет зашол ведя в проводнике адрес сайта
помогите кто может
зарание благодарен
в карантин попало 2 файла
вам их выслать или пока рано?
Последний раз редактировалось fotorama; 10.07.2007 в 15:08.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
в AVZ восстановление системы -- п.3,4,16
А логи все равно потребуются. Старожил, а нарушаешь. ((
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
в AVZ восстановление системы -- п.3,4,16
А логи все равно потребуются. Старожил, а нарушаешь.
((
извеняюсь за запоздавшое добовление логов...
просто с того компа это не получилось... пришлось идти к себе в кабинет..... сейчас все добавил жду укозаний
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
после проверки cureati удалило 23 трояна но после этой проверки перестал запускаться IE
Сторожил, а так и не научился комп защищать. Из рекомендаций книги Николая Головко наверное ни чего не соблюдаешь.
-
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\retadpu27.exe','');
QuarantineFile('C:\WINDOWS\System32\t0.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\retadpu27.exe');
BC_QrSvc('xpdx');
BC_DeleteSvc('xpdx');
BC_DeleteFile('C:\WINDOWS\System32\xpdx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин по правилам (приложение 3)
и сделайте новые логи.
I am not young enough to know everything...
-
-
Сообщение от
MaXim
Сторожил, а так и не научился комп защищать.
Из рекомендаций книги Николая Головко наверное ни чего не соблюдаешь.
да не мой это комп.... это рабочии компы а книгу я уже несколько раз читал свой комп у мну в относительной безопасности..
а на работе унас просто эпидемия сис админ неспровляеться и наменя половину валит что могу сам лечу(в силу своих юзерских возможностей)....
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
уточнение к предыдущиму посту это даже не мой рабочий комп а сатрудници...
скрипт выполнил карантин выслало логи прилогаю
файл загружен как
Файл сохранён как070618_163334_virus.fotorama_46767b9e92aa2.zip
Размер файла143995
MD563f9174dc2ebfb40687700f4c0a36181
кстате в логах фигурирует вот этот файлик C:\WINDOWS\System32\t0.dll что то меня терзают смутные сомненья на счет его или это системный?
и еще насчет этого файлика не многоли у него записей?
Код:
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
и авз про него много пишет
Код:
Layered IP C:\WINDOWS\System32\t0.dll
Скрипт: Kарантин, Удалить, Удалить через BC ()
Layered TCP/IP over [MSAFD Tcpip [TCP/IP]] C:\WINDOWS\System32\t0.dll
Скрипт: Kарантин, Удалить, Удалить через BC ()
Layered UDP/IP over [MSAFD Tcpip [UDP/IP]] C:\WINDOWS\System32\t0.dll
Скрипт: Kарантин, Удалить, Удалить через BC ()
Layered RAW/IP over [MSAFD Tcpip [RAW/IP]]
Последний раз редактировалось fotorama; 10.07.2007 в 15:08.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
bot.dll - Trojan-Proxy.Win32.Xorpix.ar
xpdx.sys - Trojan-Clicker.Win32.Costrat.e
(эти уже удалены)
t0.dll - что-то новенькое, пока ждем, и скачиваем утилиту WinSockFix:
http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
И еще ваш iexplore.exe пропатчен трояном, нужно восстановить его из дистрибутива, либо воспользоваться утилитой HaxFix:
http://users.telenet.be/marcvn/tools/haxfix.exe
I am not young enough to know everything...
-
-
Собственно вот скрипт карантина:
Код:
begin
QuarantineFile('nicm.sys','');
QuarantineFile('C:\WINDOWS\System32\NWSHLXNT.dll','');
QuarantineFile('C:\WINDOWS\System32\t0.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe','');
end.
-
-
И еще один момент:
поищите через AVZ файл C:\WINDOWS\perfmon.exe
Если найдется - пришлите по правилам, а если нет,
откройте окошко командной строки, наберите:
sc delete "Performance Monitor"
и нажмите Enter.
I am not young enough to know everything...
-
-
Сообщение от
Bratez
И еще один момент:
поищите через AVZ файл C:\WINDOWS\perfmon.exe
Если найдется - пришлите по правилам, а если нет,
откройте окошко командной строки, наберите:
sc delete "Performance Monitor"
и нажмите Enter.
не нашол его удалил как вы сказали.....
карантин закачал
Файл сохранён как070618_170929_virus.fotorama_4676840941a61.zip
Размер файла250926
MD556d458944bc3a64b25f655378234dc3a
вот этот в карантин не попал 'nicm.sys'
авз написала следущее
Код:
Ошибка карантина файла "nicm.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "nicm.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
утилиты скачал
Последний раз редактировалось fotorama; 18.06.2007 в 17:26.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
По поводу t0.dll надо все-таки дождаться ответа от ЛК, не будем спешить, хотя его зловредность практически очевидна. А IE можно сейчас восстановить. Если с дистрибутивом возиться неохота, инсталлируйте HaxFix, запускайте и выбирайте автоматический фикс.
I am not young enough to know everything...
-
-
Сообщение от
Bratez
По поводу t0.dll надо все-таки дождаться ответа от ЛК, не будем спешить, хотя его зловредность практически очевидна. А IE можно сейчас восстановить. Если с дистрибутивом возиться неохота, инсталлируйте HaxFix, запускайте и выбирайте автоматический фикс.
понел щас зделаю
еще вопрос а 2 утилита на что?
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
WinSocksFix может пригодиться потом, после удаления t0.dll, чтобы без интернета не остаться
I am not young enough to know everything...
-
-
Сообщение от
Bratez
WinSocksFix может пригодиться потом, после удаления t0.dll, чтобы без интернета не остаться
понел
1 утилита помогла ща уже с больного компа пишу
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Поздравляю, вы внесли свой скромный вклад в поимку нового зловреда,
получившего имя Trojan.Win32.Agent.aph
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelSPIByFileName('t0.dll',true);
DeleteFile('C:\WINDOWS\System32\t0.dll');
AutoFixSPI;
BC_DeleteFile('C:\WINDOWS\System32\t0.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если после перезагрузки пропадет связь с интернетом, используйте WinSocksFix.
Пофиксите в HijackThis:
Код:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O20 - Winlogon Notify: botreg - C:\WINDOWS\
Сделайте новые логи.
I am not young enough to know everything...
-
-
а насчет этих строк что делать?
Код:
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Если скрипт из #16 запускал, то должны исчезнуть.
В противном случае поможет winsockfix.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Если скрипт из #16 запускал, то должны исчезнуть.
В противном случае поможет winsockfix.
да все изчезло, winsockfix запучкал без него почемуто рабочий стол глючил...
логи прилогаю вроде все чисто но жудко тормозит
Последний раз редактировалось fotorama; 10.07.2007 в 15:08.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Профиксить в HijackThis:
O20 - Winlogon Notify: botreg - C:\WINDOWS\
Более ничего вредного не наблюдаю. Единственное, что волнует, отсутствие следов антивируса и файерволла.
Да, еще SP1. Пора бы SP2 поставить с заплатками, вышедшими после него.
Последний раз редактировалось PavelA; 19.06.2007 в 12:25.
Причина: Забыл про SP2
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-