Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 39.

Ходячий носитель вирусняков>:( (заявка № 10619)

  1. #1
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43

    Thumbs up Ходячий носитель вирусняков>:(

    Добрый день всем.
    Почитал тему "Осторожно, експлоит.." про внедренный файл atixdaxx.dll, теперь волнуююсь... Дело в том что одна сотрудница опять (в последнее время только она и ловит) поймала вирусняк (при чем с определенного сайта - по-этому первый вопрос: к кому обратиться, чтоб поверить не взломан ли он?). Как в моей предыдущей теме Не загружается комп! ASAP!!. на корне С: появились странные файлы *.tmp. На этот раз я не спешил их удалять (предварительно кинул АВЗтом в карантин - если надо пришлю). Обраружил winlogon.exe в левой папке. Также АВЗ заподозрил перехватчик клавиатуры в удаленном Авасте. Еще меня беспокоит то, что в отчете АВЗ слишком много модулей видяхи ATI опознаны как небезопасные...
    Вложения Вложения
    Последний раз редактировалось M@xWell; 25.06.2007 в 13:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\sort.dll','');
     QuarantineFile('C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\NDIS.sys','');
     QuarantineFile('C:\fwdrv.sys','');
     BC_ImportQuarantineList;
     BC_QrSvc('runtime');
     BC_DeleteSvc('runtime');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.
    I am not young enough to know everything...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    И следом еще такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\rpcc.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Остальное после анализа карантина.
    I am not young enough to know everything...

  5. #4
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43
    карантин закачал весь (с файлами, помещенными туда во время проверки). winlogon вроде удалял ранее, но в автозагрузке он висит. как убрать из msconfig'a?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Вопреки ожиданиям, ndis.sys вроде бы чистый, отправил в ЛК на всякий случай. Остальные уже удалены. Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\sort.dll (file missing)
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    перезагрузитесь и сделайте новые логи.
    I am not young enough to know everything...

  7. #6
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43
    Пофиксил первую строку, остальных двух не было уже. Возникли некоторые проблемы - Каспер начал ругаться на
    Windows\Еxplorer.EХE - потенциально опасное ПО mass-mailer
    и некий systems32\LFZ.dll -троян, удален.
    Винда начала плохо грузиться... Как восстановить Explorer?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Без логов ничего не могу сказать. Может, успели новенького подцепить?

  9. #8
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43
    ок.. жду пока загрузится в Safemode, попытаюсь сделать логи. PS. Постоянно забываю написать. в корне С: постоянно появляются файлы cd????.NLS. Где ???? - 4х-значное число
    Последний раз редактировалось M@xWell; 25.06.2007 в 16:42.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    в корне С: постоянно появляются файлы cd????.NLS. Где ???? - 4х-значное число
    А вот это уже признак того самого спам-бота, который ndis.sys, однако про него пришел ответ из ЛК, что якобы все чисто! Давайте все-таки его заменим на заведомо правильный. И еще C:\fwdrv.sys мы упустили, в карантин он не попал. Попробуйте его найти вручную, он должен найтись.

    Далее, скачайте патч: Вложение 10580, в безопасном режиме запустите его и нажмите кнопку Patch. После этого выполните скрипт:
    Код:
    begin
    DeleteFile('C:\cd*.nls');
    DeleteFile('C:\fwdrv.sys');
    ExecuteSysClean;
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    Полагаю, это должно решить проблему.
    I am not young enough to know everything...

  11. #10
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43
    Сейчас буду делать скрипт и восстанавливать ndis. Сделал логи, но не уврен что полностью - АВЗ зависает. Может переименовать АВЗ? Но не могу скопировать логи на флешку...

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Что-то мы забыли про этот файлик?
    Выполните скрипт в Safe Mode:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('\??\C:\WINDOWS\system32\windev-5c23-5450.sys','');
    RebootWindows(true);
    end.
    Если в карантин попадет этот файлик, то прислать его.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    @PavelA - В первом логе AVZ:
    C:\WINDOWS\system32\windev-5c23-5450.sys >>>>> Packed.Win32.Tibs.ab успешно удален

  14. #13
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43
    Файлы *.nls не удаляются ((

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Вы сделали патч и скрипт из сообщения #9 ?
    Давайте теперь логи, будем смотреть, что осталось.
    I am not young enough to know everything...

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    @Bratez Прозевал.. понедельник, однако.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43
    да, пропачил, но файлы не удалились.. ( зато удалились вручную...) не могу скопировать логи.. вообще никакие файлы не могу ни скопировать, ни вставить. Можно ли это както устранить?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    вообще никакие файлы не могу ни скопировать, ни вставить. Можно ли это както устранить?
    1. Попробуйте в AVZ Восстановление системы #6 и #8.
    2. Как насчет команды контекстного меню "Отправить" ("Send to")?

  19. #18
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43
    1. ни к каким изменениям не привело(( 2. пробовал.. через проводник пробовал.. не знаю как еще не пробовал..

  20. #19
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    43
    не могу ан-исталить каспера.. ошибка windows installer..
    привожу еще симптомы: на панели задач не отображаются открытые окна, не работает сеть, не копируются, не перемещаются файлы...
    кстати, на сайте все еще запускается троян при входе. Как ссылку вам кинуть, чтоб проверить сайт? Может отсюда получится решить проблему?

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2501
    Как вариант: в Safe Mode создать пользователя "Test" с привилегиями Администратора.
    Загрузиться и посмотреть на поведение компьютера.

    Есть мысль, что глюки останутся в профиле существующего поль-ля.

    Торопится выполнять не спеши, м.б. кто-нибудь чего-нибудь еще предложит.

    Вариант 2: скопировать логи на дискетку !!! Это можно сделать и из Safe Mode.

    Адрес сайта напиши мне в ЛС. Передадим аналитикам.
    Последний раз редактировалось PavelA; 25.06.2007 в 18:19.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) M@xWell, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Блокирована запись на флеш-носитель.
      От Friset в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.09.2010, 05:30
    2. Ответов: 1
      Последнее сообщение: 22.04.2010, 14:18
    3. Ответов: 6
      Последнее сообщение: 20.02.2010, 19:14
    4. Ответов: 1
      Последнее сообщение: 12.02.2010, 12:00
    5. Ответов: 6
      Последнее сообщение: 14.02.2009, 10:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00049 seconds with 17 queries