Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

сомнения... (заявка № 10879)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39

    Thumbs up сомнения...

    Позавчера закончил чиститься с вашей помощью. Вчера же решил сделать проверку, запустил скан АВЗ - пишет, что не обнаружено ничего вредоносного, но тем не менее в теле программы были такие строчки:
    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\4.tmp
    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\96.tmp
    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\98.tmp
    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\9A.tmp
    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\9C.tmp
    C:\Documents and Settings\Матухно\Local Settings\Temp\dodatok_flash_1\ZIMIN.ZIP Invalid file - not a PKZip file
    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe
    Прямоечтение C:\WINDOWS\system32\aspimgr.exe
    Прямоечтение C:\WINDOWS\system32\dllh8jkd1q6.exe
    Прямоечтение C:\WINDOWS\system32\dllh8jkd1q7.exe
    Прямоечтение C:\WINDOWS\system32\vedxg4am1et2.exe
    Прямоечтение C:\WINDOWS\system32\vedxga4m1et4.exe
    Прямоечтение C:\WINDOWS\Temp\armA54.tmp
    Прямое чтение C:\WINDOWS\Temp\INF3BA.tmp

    Мне кажется, что это таки вирусы, но чего пишется просто "прямое чтение" тогда? И еще на локальном диске С есть файлик с подозрительным именем - xx1232255.exe. Проверил CureIt-ом и Nod-ом этот файл и все выше упомянутое - все чисто, хот я почему-то в это не верю. Логи АВЗ прикрепил.
    Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     BC_QrFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe');
     BC_QrFile('C:\WINDOWS\system32\aspimgr.exe');
     BC_QrFile('C:\WINDOWS\system32\dllh8jkd1q6.exe');
     BC_QrFile('C:\WINDOWS\system32\dllh8jkd1q7.exe');
     BC_QrFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
     BC_QrFile('C:\WINDOWS\system32\vedxga4m1et4.exe');
     BC_QrFile('C:\WINDOWS\Temp\armA54.tmp');
     BC_QrFile('C:\WINDOWS\Temp\INF3BA.tmp');
     BC_Activate;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('yes.exe');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    O4 - HKLM\..\Run: [ALCalendar] yes
    Пришлите файлы карантина по правилам раздела "Помогите".

  4. #3
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    "Пофиксите" в HijackThis
    Код:
    O4 - HKLM\..\Run: [ALCalendar] yes
    вот эту строчку что-то не могу найти, предыдущеи 2 пофиксил; скрпиты выполнил; карантин выслал; сейчас прикреплю новые логи.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Кто Вас просил делать новые логи?

  6. #5
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Кто Вас просил делать новые логи?
    эммм... сорри...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Загрузитесь в режиме Safe Mode. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\aspimgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllh8jkd1q6.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllh8jkd1q7.exe','');
     QuarantineFile('C:\WINDOWS\system32\vedxg4am1et2.exe','');
     QuarantineFile('C:\WINDOWS\system32\vedxga4m1et4.exe','');
     QuarantineFile('C:\WINDOWS\Temp\armA54.tmp','');
     QuarantineFile('C:\WINDOWS\Temp\INF3BA.tmp','');
    RebootWindows(false);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".

  8. #7
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    карантин отправил

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    vedxg4am1et2.exe - Packed.Win32.Tibs.an
    vedxga4m1et4.exe - Trojan-Downloader.Win32.Tibs.mq
    armA54.tmp - Trojan-Downloader.Win32.Agent.bhp
    Остальные пока не детектируются.

    Загрузитесь в режиме Safe Mode. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\*.*');
     DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
     DeleteFile('C:\WINDOWS\system32\dllh8jkd1q6.exe');
     DeleteFile('C:\WINDOWS\system32\dllh8jkd1q7.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
     DeleteFile('C:\WINDOWS\system32\vedxga4m1et4.exe');
     DeleteFile('C:\WINDOWS\Temp\*.*');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    Повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    повторил.
    Последний раз редактировалось punk_prankster; 14.07.2007 в 22:34.

  11. #10
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    и как быть с упомянутом в самом первом посту файлом "xx1232255.exe"?

    вот я его проверил на http://www.virustotal.com/vt/en/resu...d3290e460ab33c

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от punk_prankster Посмотреть сообщение
    и как быть с упомянутом в самом первом посту файлом "xx1232255.exe"?
    Сами удалить сможете? Есть нет, то скажите точный путь и имя файла.

    Мой Вам совет: поставьте любой из антивирусов, который детектит Ваш файл на VirusTotal и запустите полную проверку компьютера. Конечно можно файл отправить в вир. лаб NOD'а и ждать месяц сигнатуры...

  13. #12
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Сами удалить сможете? Есть нет, то скажите точный путь и имя файла.
    не-а, вручную боюсь. пропишите лучше скрипт Вы.
    находbтся прямо на С ни в какой из папок - C:\xx1232255.exe

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\xx1232255.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    убил тот файл, но вылез другой C:\op (без какого-либо расширения) проверка на ВирусТотале показала http://www.virustotal.com/vt/en/resu...fa7f4676ad8c23

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Удаляйте NOD, ставьте Касперского, обновляйте базы и сканируйте комп с максимальными настройками. Есть файрвол? Расшареные папки?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Не нравиться мне этот winpop...
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True); 
     ClearQuarantine;
     QuarantineFile('C:\Program Files\WinPop\winpop.exe','');
     BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

  18. #17
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Удаляйте NOD, ставьте Касперского, обновляйте базы и сканируйте комп с максимальными настройками. Есть файрвол? Расшареные папки?
    FireWall родной виндоуский, другие не ставил...

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    вы мой скрипт выполняли? если нет то выполните.если карантин будет пустой то поищите файлик winpop.exe и пришлите по правилам.

  20. #19
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    Цитата Сообщение от Muzzle Посмотреть сообщение
    вы мой скрипт выполняли? если нет то выполните.если карантин будет пустой то поищите файлик winpop.exe и пришлите по правилам.
    да, сразу же выполнил как вы его написали. в карантине упомянутого файла нету, буду искать вручную.

    Добавлено через 25 минут
    искал вот только что этот winpop.exe, так ни с помощью АВЗ, ни с помощью стандартной искалки он не находится как быть?!
    Последний раз редактировалось punk_prankster; 09.07.2007 в 10:48. Причина: Добавлено сообщение

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Выполните такой скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     DeleteFile('C:\op');
     DeleteFile('C:\Program Files\WinPop\winpop.exe');
     SysCleanAddFile('winpop.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    и повторите логи.

  • Уважаемый(ая) punk_prankster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Лечение проведено - сомнения остались.
      От Staggerman в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 13.08.2010, 10:52
    2. Есть сомнения что я все вычистил
      От Sergey21102 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.12.2009, 16:47
    3. Меня терзают смутные сомнения..
      От Aquanavt в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.11.2009, 13:11
    4. Терзают сомнения...
      От evs в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.10.2008, 12:08
    5. Развейте сомнения комп чист или нет?
      От fotorama в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 10.05.2007, 16:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00966 seconds with 16 queries