Показано с 1 по 20 из 20.

червь small.NAB и множество подозрительных файлов (заявка № 10651)

  1. #1
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41

    Thumbs up червь small.NAB и множество подозрительных файлов

    Здравствуйте!
    Вновь дали на лечение бук, AVZ обнаружил червя small.NAB и множество других подозрительных файлов, прошу помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\Screen Task.scr','');
     QuarantineFile('c:\docume~1\d8f3~1\taskmgr.exe','');
     DeleteFile('c:\docume~1\d8f3~1\taskmgr.exe');
     DeleteFile('C:\WINDOWS\Screen Task.scr');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

    Если будут проблемы с открытием дисков, реколмендации по устранению проблемы тут.

  4. #3
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    Все сделал по пунктам, черви остаются
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. У вас поражение вирусом Virus.VBS.Small.a.
    Для удаления выполните такой скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\autorun.*');
     DeleteFile('C:\WINDOWS\system32\autorun.*');
     DeleteFile('E:\autorun.*');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    Обновите базы Касперского и обязательно проверьте все ваши съемные носители (флэшки, дискеты, mp3-плеер и т.п.).

    2. Надо проверить еще пару файлов. Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\preflib.dll','');
     QuarantineFile('C:\WINDOWS\System32\bcm1xsup.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    Все сделал, файл карантина прислал.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Приланные файлы чистые.
    Сделайте логи еще раз, проверим результат удаления.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    Посылаю
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    В логах все нормально. Проблема решена?

  10. #9
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    Не совсем. Поставил NOD 32 2.7 со свежими базами. Сейчас проверяю - уже нашел червя VBS small и червя Win32/Mygirl.C

  11. #10
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    NOD нашел кучу червей ВБЭсов в директориях: C\RECYCLER\NPROTECT и С:\System Volume Information

  12. #11
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    NOD убил 35 червей, перезагрузился, проверил чисто. Лишь бы ничего не вылезло. Смущает процесс WLTRYSVC.EXE

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Михалыч Посмотреть сообщение
    NOD нашел кучу червей ВБЭсов в директориях: C\RECYCLER\NPROTECT и С:\System Volume Information
    Восстановление системы отключено? Иначе долго будете мучаться.
    По сути: нужны новые логи. Посмотрим что получилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    NOD нашел кучу червей ВБЭсов в директориях: C\RECYCLER\NPROTECT и С:\System Volume Information
    Отключить восстановление системы и провериться антивирусом со свежими базами нужно было еще до открытия темы, как это написано в правилах. Может тогда и до открытия темы бы не дошло


    Смущает процесс WLTRYSVC.EXE
    Комп Dell'овский? WiFi имеется?
    O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc)...
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    Я проверился в начале свежим Curel It с отключенным восстановлением системы, думал этого достаточно. NOD достал только сегодня, проверял тоже с отключ. восст-ем. Логи пришлю, но вроде все уже чисто.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Я проверился в начале свежим Curel It
    Вероятно, сделали только экспресс-проверку, которую он запускает при старте? А нужно было весь комп проверить. Не верю, что CureIt, даже не совсем свежий, пропустил бы VBS.Small.a.
    Ну да ладно, главное - всех победили
    Логи конечно сделайте, чтобы не осталось сомнений.
    I am not young enough to know everything...

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Михалыч Посмотреть сообщение
    Я проверился в начале свежим Curel It с отключенным восстановлением системы, думал этого достаточно. NOD достал только сегодня, проверял тоже с отключ. восст-ем. Логи пришлю, но вроде все уже чисто.
    Отключенное восстановление системы
    очищает директорию System Volume Information. А это не вяжется с тем, что НОД находил там вирусы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    Да, действительно, была только экспресс-проверка, а потом сразу AVZ стал проверять. Спасибо за помощь!
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    47
    Вес репутации
    41
    Цитата Сообщение от PavelA Посмотреть сообщение
    Отключенное восстановление системы
    очищает директорию System Volume Information. А это не вяжется с тем, что НОД находил там вирусы.
    Вроде отключал, странно. Но после той проверки НОД больше вирусов не находил. Вам тоже спасибо за помощь, в боях с вирусами набираюсь опыта

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Вот теперь на самом деле чисто.
    Ну если что - заходите еще
    I am not young enough to know everything...

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Virus.VBS.Small.a (DrWEB: VBS.Igidak)
      2. e:\\autorun.inf - Virus.VBS.Small.a (DrWEB: VBS.Igidak)


  • Уважаемый(ая) Михалыч, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 17.09.2011, 16:53
    2. Проверка подозрительных файлов.
      От kungurov в разделе Технические и иные вопросы
      Ответов: 2
      Последнее сообщение: 26.03.2010, 06:45
    3. Ответов: 8
      Последнее сообщение: 27.02.2010, 12:14
    4. Пара подозрительных файлов на анализ.
      От nisome в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.07.2008, 19:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01191 seconds with 17 queries