Показано с 1 по 17 из 17.

Такого я еще не видел. Помогите плз. (заявка № 10708)

  1. #1
    Junior Member Репутация
    Регистрация
    29.06.2007
    Сообщений
    6
    Вес репутации
    39

    Question Такого я еще не видел. Помогите плз.

    В общем на компьютере появились вирусы. Причем в ужасающих количествах. в HIjakthis прописалось штук 30 файлов. AVZ весь красный. Что самое веселое - касперский (тот что Online) не распознает вируса.
    На всех дисках появились Autorun.inf с auto.exe, qqa.exe, и еще кучей программ.
    В общем попытался я все это дело прибить в save mode, Даже из Winsock прибил EBTH.dll(вроде так...), перезагрузился...
    Получил синий экран, а на следующей перезагрузке - все как и было, весь компьютер красный.
    Помогите пожалуйста, жуть какаято творится...

    П.С. Ах, да. Касперский ActiveX виснет, AVZ Тоже. AVZ например стабильно подвисает при попытке просмотреть процессы или сервисы. Или при проверке папки c:\windows\assembly\temp\
    П.С.С. Ах да, AVZ под windows safe mode находит одни зараженные файлы, из windows normal mode - другие...
    Вложения Вложения
    Последний раз редактировалось Help123; 29.06.2007 в 01:35.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    OK, логи смотрю, карантины я тоже скачал.
    Кое-что определилось, кое-что отправил на анализ.
    Пока ждем, лечение напишу чуть позже.
    Последний раз редактировалось Bratez; 29.06.2007 в 01:42.

  4. #3
    Junior Member Репутация
    Регистрация
    29.06.2007
    Сообщений
    6
    Вес репутации
    39
    Прошу прощения, в спешке недочитал правила и все напутал...

    Хотел еще сказать - год сменился на 2005, правда я его обратно переставил...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    nwizwmgjs.exe - Trojan-PSW.Win32.OnLineGames.sc
    TIMHost.dll - Trojan-PSW.Win32.OnLineGames.yn
    ztinetzt.dll - Trojan-PSW.Win32.Nilage.bki

    Пока удалим, то что известно, и соберем недостающие.
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\auto.exe','');
     QuarantineFile('C:\WINDOWS\system32\nwizzhuxians.exe','');
     QuarantineFile('C:\WINDOWS\system32\nwizwlwzs.exe','');
     QuarantineFile('C:\WINDOWS\system32\nwizqjsj.exe','');
     QuarantineFile('C:\WINDOWS\system32\nwizdh.exe','');
     DeleteFile('C:\WINDOWS\TIMHost.exe');
     DeleteFile('C:\WINDOWS\system32\nwizwmgjs.exe');
     DeleteFile('C:\WINDOWS\system32\ztinetzt.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки новый карантин пришлите по правилам (прилож.3).
    I am not young enough to know everything...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Нда, хороший суповой набор из свежей дичи
    AVPSrv.dll - Trojan-PSW.Win32.OnLineGames.zb
    WinForm.dll - Trojan-PSW.Win32.OnLineGames.wh
    MOSOU.dll - Trojan-PSW.Win32.OnLineGames.qw
    MsIMMs32.dll - Trojan-PSW.Win32.OnLineGames.zq

    Скрипт для удаления второй очереди:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\AVPSrv.exe');
     DeleteFile('C:\WINDOWS\MsIMMs32.exe');
     DeleteFile('C:\WINDOWS\WinForm.exe');
     DeleteFile('C:\WINDOWS\system32\mosou.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Карантинчик от первого скрипта не забудьте!
    I am not young enough to know everything...

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    ПАРОЛИ надо сменить ВСЕ!!!
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    29.06.2007
    Сообщений
    6
    Вес репутации
    39
    Файл с карантином отправил.
    Что удивительно, весь этот зверинец появился одним махом. Проверялся AVZ за два часа до - все было ок.
    Еще какой-то вирус был, в сервисах прописался вот так - C:\WINDOWS\system32\B4A475D2.EXE -k
    Но я его прибил до того как к вам обратился. CureIt определил его как Trojan.Popwin
    Похоже во всем виновата лень - Воспользовался IE чтобы быстренько найти файлик, вместо оперы...

  9. #8
    Junior Member Репутация
    Регистрация
    29.06.2007
    Сообщений
    6
    Вес репутации
    39
    Похоже все вылечилось. Спасибо огромное...
    Жалко что AVZ с настройками по умолчанию не смог вылечить все это...

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    AVZ - утилита для помощи по лечению, а не полноценный антивирус.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Сделайте новые логи для контроля.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Подождите, "вылечилось"! Еще не всё, карантин последний надо посмотреть!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    nwizzhuxians.exe - Trojan-PSW.Win32.Nilage.bki
    nwizwlwzs.exe - новенький из семейства OnlineGames.
    nwizqjsj.exe - Trojan-PSW.Win32.Nilage.bjp
    nwizdh.exe - Trojan-PSW.Win32.OnLineGames.qw

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\nwizdh.exe');
     DeleteFile('C:\WINDOWS\system32\nwizqjsj.exe');
     DeleteFile('C:\WINDOWS\system32\nwizwlwzs.exe');
     DeleteFile('C:\WINDOWS\system32\nwizzhuxians.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    А вот теперь можно и логи.
    И попробуйте разыскать через AVZ файл auto.exe.

  14. #13
    Junior Member Репутация
    Регистрация
    29.06.2007
    Сообщений
    6
    Вес репутации
    39
    Выполнил. Вот результаты. Вот дела, нашлась еще гадость... Правда когда я полез на нее смотреть - в указанном месте ее уже небыло, как будто AVZ ее удалил.
    C:\auto.exe есть в карантине что я прислал. Может еще раз залить?
    Вложения Вложения
    Последний раз редактировалось Help123; 29.06.2007 в 20:37.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    C:\auto.exe есть в карантине что я прислал. Может еще раз залить?
    В карантине только ini файл о него. Пришлите по правилам auto.exe
    и C:\WINDOWS\system32\nslookupi.exe (уже добавлен в карантин).

    А так в системе уже чисто.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    29.06.2007
    Сообщений
    6
    Вес репутации
    39
    Странно, я вроде посмотрел, dta файл там есть...
    Закачал заново. Файл 070630_141146_virus_46862c626e6fc.zip. в нем 2 файла - nslookupi.exe и auto.exe

    Еще раз спасибо за чистую систему

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Оба файла определяются Касперским как Backdoor.Win32.Agent.alh.
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\auto.exe');
     DeleteFile('C:\autorun.*');
     DeleteFile('C:\WINDOWS\system32\nslookupi.exe');
     DeleteFile('C:\WINDOWS\system32\autorun.*');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После перезагрузки проверьте антивирусом со свежими базами остальные разделы и съемные носители (вплоть до фотоаппарата и мп3-плеера).
    Если после лечения перестанут открываться диски через "Мой компьютер", почитайте это: http://virusinfo.info/showthread.php?t=8877
    I am not young enough to know everything...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\auto.exe - Backdoor.Win32.Popwin.aot (DrWEB: Trojan.Popwin)
      2. c:\\windows\\system32\\nslookupi.exe - Backdoor.Win32.Agent.alh (DrWEB: Trojan.Sniff)
      3. c:\\windows\\system32\\nwizdh.exe - Trojan-GameThief.Win32.OnLineGames.quy (DrWEB: Trojan.PWS.Wsgame)
      4. c:\\windows\\system32\\nwizqjsj.exe - Trojan-GameThief.Win32.Nilage.bki (DrWEB: Trojan.PWS.Wsgame)
      5. c:\\windows\\system32\\nwizwlwzs.exe - Trojan-GameThief.Win32.Nilage.bki (DrWEB: Trojan.PWS.Wsgame)
      6. c:\\windows\\system32\\nwizzhuxians.exe - Trojan-GameThief.Win32.Nilage.bki (DrWEB: Trojan.PWS.Wsgame)


  • Уважаемый(ая) Help123, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Такого я еще никогда не видел
      От gudge25 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 02.08.2009, 15:12
    2. Такой заразы ещё не видел, помогите...
      От Stepanyuk в разделе Помогите!
      Ответов: 31
      Последнее сообщение: 22.02.2009, 03:45
    3. Drweb вчера не видел!!
      От vistaorxpmoy в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 27.12.2008, 14:35
    4. SOS! Червяк! Mdelk.exe - такого еще не видел!!!
      От Jorge Menefrego в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 01.03.2008, 00:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00021 seconds with 17 queries