Показано с 1 по 16 из 16.

Хелп (заявка № 10756)

  1. #1
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38

    Question Хелп

    На днях Антивирус оповестил то что вебвирус пытается проникнуть ...
    Отклонил!
    Потом подумал что все же надо проскнить системку!!!
    И , воть те на этот же вирус на компе , удалил .(странно )
    Пошел в безопасник просканил заново ...ни чего не нашел.
    Решил проверить AVZ, Сureit ....первый нашел еще 2 , а вот второй "полетел"
    Нашел 5 разновидностей троянов и тот в том числе ,после проверил своим Антвирусом , и тот нашел еще записи в реестре ....УДАЛИЛ .
    С радостью запускаю системку, и опять мои Антивирус находит ... =(
    Скачал обновления , не помогло !!!
    Компьютер заражен =(.

    Clawm , Касперский с последними базами не видет !!!
    а, cureit и avz не справляются.
    Хелп
    Вложения Вложения
    Последний раз редактировалось C_L_S; 02.07.2007 в 00:57.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38
    Файлы прикрипились !
    Файл сохранён как 070702_021151_virusinfo_cure_468826a783582.zip
    Размер файла 1400
    MD5 1d652fd9c793bea31cb49363ddf4b84c
    Карантин (который virusinfo_cure) надо присылать по ссылке вверху темы.
    Вложения Вложения
    Последний раз редактировалось pig; 02.07.2007 в 02:14.

  4. #3
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38
    Все логи есть скажите какие еще нужны ,.... просто я не вижу что приерипилось а что нет ... вообще ужасно отображается страничка!!!!
    Из -за виря ...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    AVZ - Файл - Выполнить скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe','');
     DeleteFile('C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_ImportAll;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки пришлите файл 2024.exe из карантина по ссылке вверху темы. А к сообщению прикрепите boot_clr.log из каталога AVZ.

  6. #5
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38
    Цитата Сообщение от C_L_S Посмотреть сообщение
    Все логи есть скажите какие еще нужны ,.... просто я не вижу что приерипилось а что нет ... вообще ужасно отображается страничка!!!!
    Из -за виря ...
    Вот залил что попросили
    Файл сохранён как070702_022608_virusinfo_cure_46882a007cdf9.zipР азмер файла1400MD51d652fd9c793bea31cb49363ddf4b84c

    Добавлено через 10 минут
    В карантине не видно файла с исполняемым раширением (еxe)

    Добавлено через 1 минуту
    Скрипт выполнил!!!

    Добавлено через 9 минут
    Вот зазиповал весь карантин и скинул
    Файл сохранён как 070702_024535_Quarantine_46882e8f114a1.zip
    Размер файла 8286847
    MD5 294aa2835373d227434c8ab45c569de8

    Карантин в раре , а рар в зипе + файл который вы просили boot_clr.log
    НА АРХИВЕ НЕТ пароля

    Добавлено через 5 минут
    Увидел что в AVZ можно просматривать карантин !!
    Увидел там название 2024.exe размер файла - 0
    Его высылать всеравно ! или достаточно того что выслал !
    Последний раз редактировалось C_L_S; 02.07.2007 в 02:54. Причина: Добавлено сообщение

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Лог (boot_clr.log) сюда прикрепите. Архив без пароля с очень большой вероятностью антивирус у хостера замочил. Повторять отправку пока не надо, раз файл нулевого размера. Сначала дайте лог посмотреть.

  8. #7
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38
    Закачал пароль : virus
    =)
    Файл сохранён как 070702_030427_boot_clr_468832fb667d7.zip
    Размер файла 276
    MD5 01cbf11e9295ebe7cd65a0a483b5fc4d

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Сказано же - лог сюда! В тему! Открытым текстом и без пароля.

  10. #9
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38
    Quarantine path: \??\C:\AVZ\avz4\Quarantine\2007-07-02\
    QuarantineFile \??\C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.ex e - failed (0xC0000034)
    QuarantineFile \??\C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.ex e - failed (0xC0000034)
    DeleteFile \??\C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.ex e - failed (0xC0000034)
    DeleteFile \??\C:\WINDOWS\system32\svshost.dll - failed (0xC0000034)
    -- End --

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Internet Explorer\shwdltms.bin','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38
    Сейчас выполню скрипт , но прежде хочу выложить :
    1
    архив virus в котором содержится около 8 подозрительных файлов (явных левых например переименовый stpd) http://slil.ru/24583829

    Архив Log в котором содержится последнии логи
    http://slil.ru/24583782

    Добавлено через 27 минут
    Скрипт выполнил .
    в папке Quarantine :

    bcqr00001.ini , содержание :
    [InfectedFile]
    Src=\??\C:\Program Files\Internet Explorer\shwdltms.bin
    Infected=bcqr00001.dat
    Virus=BootCleaner quarantine
    Size=0
    CopyStatus=C0000034

    bcqr00002.ini содержание :
    [InfectedFile]
    Src=\??\C:\Program Files\Internet Explorer\shwdltms.bin
    Infected=bcqr00002.dat
    Virus=BootCleaner quarantine
    Size=0
    CopyStatus=C0000034
    Последний раз редактировалось C_L_S; 02.07.2007 в 21:41. Причина: Добавлено сообщение

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe');
     DeleteFile('C:\Program Files\Internet Explorer\shwdltms.bin');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('GNSHP');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis, что останется:
    Код:
    O4 - HKCU\..\Run: [System update] C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe
    O9 - Extra button: (no name) - DctMapping - (no file)
    O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
    O21 - SSODL: SysChk - {CF485040-A50A-482D-AA7C-0F257191D916} - C:\Program Files\Internet Explorer\shwdltms.bin (file missing)
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
    еще раз перезагрузитесь и сделайте все 3 лога по правилам.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38
    Вот !!!


    Logfile of HijackThis v1.99.1
    Scan saved at 1:04:16, on 04.07.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\Solid PdfService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\K-Meleon\k-meleon.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\Hijackthis\HijackThis.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6D7DF408-259C-488F-8348-7F9973A5BBFE}: NameServer = 192.168.0.8
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D9EFC5C5-3C31-4477-9CA1-E1D25B6344C8}: NameServer = 212.1.224.34

    212.1.230.111
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky

    Anti-Virus 6.0\avp.exe" -r (file missing)
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт -

    C:\WINDOWS\system32\imapi.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

    C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт

    - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner -

    %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program

    Files\SolidDocuments\SolidConverterPDF\SCPDF\Solid PdfService.exe
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт -

    C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. -

    C:\programs\security\VMware\vmware-authd.exe
    O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
    O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common

    Files\VMware\VMware Virtual Image Editing\vmount2.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт -

    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Теперь чисто. Проблема все еще проявляется?
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    02.07.2007
    Сообщений
    43
    Вес репутации
    38
    Уфффф сомневаюсь что чисто =)

    Вопервых при заходе в системку отрубается Штатный файрвол =)
    (а, о чем это говорит =))

    Проблеммы остались :
    Полетели некторые Dll
    ТЕперь обращаться не могу к панели управеления(выдает ошибку)
    Так же установка удаления программ(выдает ошибку)
    run32.dll

    sfc не могу запустить , ибо с какого cd устанавливал винду его нема =).
    а, с другими отказывается хотя версия одна и тажа =(

    эххх не было печали !!!! =)
    У второй системке (голенькая) тоже отрубается штатный файрвол....
    Я с помощью нее сканил на вирусы , что бы хоть как то попасть в систему, в итоге в безопасник заработал ... =)

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\svshost.dll - Backdoor.Win32.Small.ls (DrWEB: BackDoor.Dld.1163)
      2. \\2007-07-02.rar - Backdoor.Win32.Small.ls (DrWEB: archive: BackDoor.Dld.1163)


  • Уважаемый(ая) C_L_S, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Хелп
      От spo1443 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.03.2010, 19:21
    2. хелп!
      От 6aly в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.01.2010, 21:31
    3. ХЕЛП!
      От mix.m в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.06.2009, 19:51
    4. Хелп!!!
      От garpag в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.10.2008, 15:22
    5. Хелп
      От berloga в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.10.2008, 02:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01557 seconds with 17 queries