-
Junior Member
- Вес репутации
- 62
сомнения...
Позавчера закончил чиститься с вашей помощью. Вчера же решил сделать проверку, запустил скан АВЗ - пишет, что не обнаружено ничего вредоносного, но тем не менее в теле программы были такие строчки:
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\4.tmp
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\96.tmp
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\98.tmp
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\9A.tmp
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\9C.tmp
C:\Documents and Settings\Матухно\Local Settings\Temp\dodatok_flash_1\ZIMIN.ZIP Invalid file - not a PKZip file
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe
Прямоечтение C:\WINDOWS\system32\aspimgr.exe
Прямоечтение C:\WINDOWS\system32\dllh8jkd1q6.exe
Прямоечтение C:\WINDOWS\system32\dllh8jkd1q7.exe
Прямоечтение C:\WINDOWS\system32\vedxg4am1et2.exe
Прямоечтение C:\WINDOWS\system32\vedxga4m1et4.exe
Прямоечтение C:\WINDOWS\Temp\armA54.tmp
Прямое чтение C:\WINDOWS\Temp\INF3BA.tmp
Мне кажется, что это таки вирусы, но чего пишется просто "прямое чтение" тогда? И еще на локальном диске С есть файлик с подозрительным именем - xx1232255.exe. Проверил CureIt-ом и Nod-ом этот файл и все выше упомянутое - все чисто, хот я почему-то в это не верю. Логи АВЗ прикрепил.
Последний раз редактировалось punk_prankster; 08.07.2007 в 16:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
BC_QrFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe');
BC_QrFile('C:\WINDOWS\system32\aspimgr.exe');
BC_QrFile('C:\WINDOWS\system32\dllh8jkd1q6.exe');
BC_QrFile('C:\WINDOWS\system32\dllh8jkd1q7.exe');
BC_QrFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
BC_QrFile('C:\WINDOWS\system32\vedxga4m1et4.exe');
BC_QrFile('C:\WINDOWS\Temp\armA54.tmp');
BC_QrFile('C:\WINDOWS\Temp\INF3BA.tmp');
BC_Activate;
RebootWindows(true);
end.
Потом ещё один
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('yes.exe');
ExecuteSysClean;
RebootWindows(false);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O4 - HKLM\..\Run: [ALCalendar] yes
Пришлите файлы карантина по правилам раздела "Помогите".
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
"Пофиксите" в HijackThis
Код:
O4 - HKLM\..\Run: [ALCalendar] yes
вот эту строчку что-то не могу найти, предыдущеи 2 пофиксил; скрпиты выполнил; карантин выслал; сейчас прикреплю новые логи.
-
Кто Вас просил делать новые логи?
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
Кто Вас просил делать новые логи?
эммм... сорри...
-
Загрузитесь в режиме Safe Mode. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe','');
QuarantineFile('C:\WINDOWS\system32\aspimgr.exe','');
QuarantineFile('C:\WINDOWS\system32\dllh8jkd1q6.exe','');
QuarantineFile('C:\WINDOWS\system32\dllh8jkd1q7.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg4am1et2.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxga4m1et4.exe','');
QuarantineFile('C:\WINDOWS\Temp\armA54.tmp','');
QuarantineFile('C:\WINDOWS\Temp\INF3BA.tmp','');
RebootWindows(false);
end.
Пришлите файлы карантина по правилам раздела "Помогите".
-
-
Junior Member
- Вес репутации
- 62
-
vedxg4am1et2.exe - Packed.Win32.Tibs.an
vedxga4m1et4.exe - Trojan-Downloader.Win32.Tibs.mq
armA54.tmp - Trojan-Downloader.Win32.Agent.bhp
Остальные пока не детектируются.
Загрузитесь в режиме Safe Mode. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\*.*');
DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
DeleteFile('C:\WINDOWS\system32\dllh8jkd1q6.exe');
DeleteFile('C:\WINDOWS\system32\dllh8jkd1q7.exe');
DeleteFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
DeleteFile('C:\WINDOWS\system32\vedxga4m1et4.exe');
DeleteFile('C:\WINDOWS\Temp\*.*');
ExecuteSysClean;
RebootWindows(false);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось punk_prankster; 14.07.2007 в 22:34.
-
Junior Member
- Вес репутации
- 62
и как быть с упомянутом в самом первом посту файлом "xx1232255.exe"?
вот я его проверил на http://www.virustotal.com/vt/en/resu...d3290e460ab33c
-
Сообщение от
punk_prankster
и как быть с упомянутом в самом первом посту файлом "xx1232255.exe"?
Сами удалить сможете? Есть нет, то скажите точный путь и имя файла.
Мой Вам совет: поставьте любой из антивирусов, который детектит Ваш файл на VirusTotal и запустите полную проверку компьютера. Конечно можно файл отправить в вир. лаб NOD'а и ждать месяц сигнатуры...
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
Сами удалить сможете? Есть нет, то скажите точный путь и имя файла.
не-а, вручную боюсь. пропишите лучше скрипт Вы.
находbтся прямо на С ни в какой из папок - C:\xx1232255.exe
-
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\xx1232255.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
убил тот файл, но вылез другой C:\op (без какого-либо расширения) проверка на ВирусТотале показала http://www.virustotal.com/vt/en/resu...fa7f4676ad8c23
-
Удаляйте NOD, ставьте Касперского, обновляйте базы и сканируйте комп с максимальными настройками. Есть файрвол? Расшареные папки?
-
-
Не нравиться мне этот winpop...
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\WinPop\winpop.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Последний раз редактировалось Muzzle; 09.07.2007 в 04:52.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
Удаляйте NOD, ставьте Касперского, обновляйте базы и сканируйте комп с максимальными настройками. Есть файрвол? Расшареные папки?
FireWall родной виндоуский, другие не ставил...
-
вы мой скрипт выполняли? если нет то выполните.если карантин будет пустой то поищите файлик winpop.exe и пришлите по правилам.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Muzzle
вы мой скрипт выполняли? если нет то выполните.если карантин будет пустой то поищите файлик winpop.exe и пришлите по правилам.
да, сразу же выполнил как вы его написали. в карантине упомянутого файла нету, буду искать вручную.
Добавлено через 25 минут
искал вот только что этот winpop.exe, так ни с помощью АВЗ, ни с помощью стандартной искалки он не находится как быть?!
Последний раз редактировалось punk_prankster; 09.07.2007 в 10:48.
Причина: Добавлено сообщение
-
Выполните такой скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\op');
DeleteFile('C:\Program Files\WinPop\winpop.exe');
SysCleanAddFile('winpop.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и повторите логи.
-