Показано с 1 по 20 из 20.

Проверьте, пожалуйста, зверье или нет. (заявка № 10557)

  1. #1
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39

    Thumbs up Проверьте, пожалуйста, зверье или нет.

    Суть проблеммы в следующем:
    1.Начал тормозить комп
    2.Время от времени подтормаживает либо самостоятельно ведет себя мышь
    3.При проверке в SafeMode свежим Сureit обнаруживается в C:\WINDOWS\system32 process.exe про который Сureit пишет Toll.Prockill
    4.после переименования process.exe в process.#xe и перезагрузки в норм. режим жить машине становится заметно легче
    Логи сделаны без переименования process.exe.
    Стоит KISа 6 trial с свежими базами.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Ну, что сказать.
    1. Прислать то, что попало в карантин. ХХХ-сайты до добра не доводят.
    2. Плохо жить без SP2. Надо бы как-нибудь его установить. Скорее всего, после его установки потребуется повторная активация Виндов.
    3. Определится с каким антивирусом будете жить дальше. Сейчас у Вас
    видно два: KIS & остатки NODа. Из-за этого могут быть большие-е тормоза.

    Все остальное очень даже неплохо.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    Ну, что сказать. ...Все остальное очень даже неплохо.
    1."Прислать" вы имеете ввиду по ссылке вверху темы :"Прислать запрошенные файлы?" (Карантин AVZ?)
    2.Какие следы НОДа и как их изъять грамотно.
    С уважением.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Товарищи поправили. Thanks, HATTIFNATTOR
    В AVZ выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys','');
     BC_DeleteFile('C:\WINDOWS\System32\imon.dll');
     BC_DeleteFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загрузить ВЕСЬ карантин по ссылке вверху темы.
    Плюс новые логи.
    Описание:
    http://www.avira.com/ru/threats/sect...t.1222144.html
    Самое интересное в конце. Если компьютер в локальной сети, то надо будет еще поискать у соседей.
    Поискать %TEMPDIR%\removeMe%случайная комбинация из четырех букв%.bat . Ежели найдется - удалить.
    Последний раз редактировалось PavelA; 22.06.2007 в 11:48.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39
    [quote=PavelA;117558]Товарищи поправили.

    Dryunja1961 скрипт выполнился, система перезагрузилась, исчез интернет.
    Дальнейшие действия?
    P.S. на связи доверенный товарищ Дрюни

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    www.tacktech.com/pub/winsockfix/WinsockFix.zip - скачать, распаковать, запустить. Должен востановиться Интернет.
    Нужно прислать карантин от Dryunja1961. Ссылка на загрузку вверху темы.( http://virusinfo.info/upload_virus.php?tid=10557)

    На всякий пожарный, вторая ссылочка на WinsockFix

    http://www.softpedia.com/progDownloa...oad-15337.html
    Последний раз редактировалось PavelA; 22.06.2007 в 14:35.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39
    Карантин закачал.

    Файл сохранён как
    070622_154110_2007-06-22_467bb556776ba.zipРазмер файла324047MD5
    c9c3af6da44da4b5d5502f8ea99bddcf

    Инет восстановился наполовину, работает только GPRS - канал, спутник молчит, но это не важно.
    Выкладываю новые логи.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Поделитесь секретом: C:\TEMP\cd8\EXE Programs\porn-secret.exe.zip Запаковать в zip с паролем virus и по ссылке в шапке загрузить
    Нод надо удалить, если ещё не сделали.
    Попробуйте такой скрипт в авз :
    Код:
    begin
    ExecuteRepair(14);
    RebootWindows(true);
    end.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните такой скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DelSPIByFileName('imon.dll',true);
     ExecuteRepair(14);
     RebootWindows(true);
    end.
    После перезагрузки попробуйте интернет, если не пойдет - еще разок прогоните WinsockFix. Имейте ввиду, что она сбрасывает сетевые настройки, надо заново ввести IP и др.
    I am not young enough to know everything...

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    @Bratez Nod был удален ранее. После этого пропал Инет.

    @Drongo Файлик, что просишь в карантине.
    Кстати, описание его на Avira
    http://www.avira.com/ru/threats/sect...delf.fz.1.html
    Последний раз редактировалось PavelA; 22.06.2007 в 16:45.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39
    После второго применения WinSockFix и ручной коррекции IP Инет восстановил полностью.
    Каковы дальнейшие действия.
    P.S. Указанный файлец ХХХ - неудаленный еще мусор от "рыбалки".
    P.S.2. Скрипт от drongo выполнен.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Живите счастливо, но это будет не долго. Нужен SP2 с сотней обновлений после него.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39
    Спасибо всем, насчет SP2 & e.t.c. все понял, буду принимать меры.
    Наилучших пожеланий.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Чтобы уменьшить шанс заражения советую на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Советуем прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

  16. #15
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39
    Книгу прочту, Опера есть.
    Кстати, что было?
    imon.* - надо думать кусок НОДа
    oreans32.sys - а это что? Если не сложно, для общего развития.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    209
    oreans32.sys - Riskware.Fileprotect.A, зачастую устанавливается в систему чтобы скрыть другой вредоносный код от обнаружения антивирусами.

  18. #17
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39
    Спасибо, понял.
    Вопрос чуть-чуть оффтоп. Скоро буду проверять комп родича, открывать тогда новую тему или писать сюда?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    209
    Открывайте новую, чтобы не путаться.

  20. #19
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    14
    Вес репутации
    39
    Спасибо.
    Успехов!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\temp\\cd8\\exe programs\\porn-secret.exe.zip - Trojan-Clicker.Win32.Galepo.x (DrWEB: archive: Trojan.Glphot)


  • Уважаемый(ая) Dryunja1961, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зверье или баги Outpost?
      От Brodig в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.08.2010, 09:08
    2. проверьте пожалуйста
      От hebi в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.04.2010, 13:53
    3. Зверье мое
      От Ven в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:19
    4. Проблема в XP SP1? зверье поигралось
      От Aviator в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 07:44
    5. Зверье мое
      От Ven в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01381 seconds with 17 queries