Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 42.

Trojan.spambot (заявка № 10918)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39

    Thumbs up Trojan.spambot

    DrWeb обнаруживает вирус Trojan.spambot в файле rsvp32_2.dll, предлагает лечить, в статистике вирус значится как вылеченный...
    после перезагрузки все по новой...
    винда XP SP1, думаю проблема в этом...

    вопрос к знающим, что лучше: снести и поставить заново (сразу SP2), или вылечить и обновлять до SP2?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    поставить заново (сразу SP2) лучше
    Сейчас посмотрю что у вас. Погодите с перестановкой, может ценный экземпляр найдём

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\userinit.exe','');
     QuarantineFile('C:\WINDOWS\System32\syst4n0.dll','');
     QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\windev-2954-30dd.sys','');
     QuarantineFile('C:\WINDOWS\System32\ovwscn.sys','');
     QuarantineFile('C:\WINDOWS\System32\ovrscn.dll','');
     QuarantineFile('C:\WINDOWS\svchоst.exe','');
     QuarantineFile('C:\WINDOWS\r7537w32.dll','');
     QuarantineFile('c:\windows\svchоst.exe','');
     QuarantineFile('C:\Documents and Settings\Borodyanskaya.FRENDSHIP\Local Settings\Temporary Internet Files\OLKD\Торгово-парковочный комплекс (2).doc',''); 
    QuarantineFile('C:\Documents and Settings\sohina\Local Settings\Temp\2350.exe',''); 
    QuarantineFile('C:\Documents and Settings\sohina\Local Settings\Temp\6354.exe','');
    QuarantineFile('c:\windows\system32\winlogon.exe','');
    QuarantineFile('c:\windows\system32\msvcrtd.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    svchist.exe , ext.exe должны где валяться - найдите: http://virusinfo.info/showthread.php?t=4567

    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10918
    Классная коллекция

    P.s. В этом разделе те кто "не знающие" не смогут ответить. Проверить просто : зарегистрируйте аккаунт с другим ником и попробуйте ответить в этой теме ;-*)
    Последний раз редактировалось drongo; 09.07.2007 в 17:57.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Надо посмотреть, как говаривал один товарищ.
    Есть вариант: вылечится и потом поставить СП2.

    Если нужной и-ции мало, то можно и сразу "под нож".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    файлы svchist.exe , ext.exe не находятся ни в avz ни проводником...
    содержимое карантина прислал

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Цитата Сообщение от PavelA Посмотреть сообщение
    Есть вариант: вылечится и потом поставить СП2.
    вариант чуть хуже по моему. Даже если смотреть теоретически, винда уже работала, мусора в реестре завались да ещё с такой "коллекцией"- лучше переставить сразу с SP2 если есть возможность и находящейся информации на диске C не жалко...

  7. #6
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    ну так что, есть смысл лечить? информации на диске по большому счету не жалко...
    просто если переустанавливать, то мне нужно начинать прямо сейчас, завтра с утра комп нужен уже в рабочем состоянии

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     DeleteFile('c:\windows\svchоst.exe');
     DeleteFile('C:\WINDOWS\r7537w32.dll');
     DeleteFile('C:\WINDOWS\System32\ovrscn.dll');
     DeleteFile('C:\WINDOWS\System32\ovrscn.sys');
     DeleteFile('C:\WINDOWS\System32\ovwscn.sys');
     DeleteFile('C:\WINDOWS\system32\windev-2954-30dd.sys');
     DeleteFile('C:\WINDOWS\System32\syst4n0.dll');
     DeleteFile('C:\WINDOWS\userinit.exe');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     ExecuteRepair(14);
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
    O4 - HKCU\..\Run: [NeroFilterCheck] svchist.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
    O20 - AppInit_DLLs: C:\WINDOWS\System32\syst4n0.dll
    O21 - SSODL: 601468 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
    O21 - SSODL: 433759 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
    O21 - SSODL: 576968 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r7537w32.dll (file missing)
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)
    Повторите логи. Радмин сами ставили?

    Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix.
    Последний раз редактировалось Макcим; 09.07.2007 в 19:32.

  9. #8
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    радмин поставили до меня, я им почти не пользуюсь
    в инет выхожу с другова компа

    сейчас выполню скрипт, пофиксю в хайджеке и вышлю карантин

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от martin79 Посмотреть сообщение
    радмин поставили до меня, я им почти не пользуюсь
    В таком случае удалите его.

    Добавлено через 3 минуты
    Цитата Сообщение от Maxim Посмотреть сообщение
    сейчас выполню скрипт, пофиксю в хайджеке и вышлю карантин
    Не надо карантин присылать. Я ошибся. После этого скрипта в карантин ни чего не попадет.
    Последний раз редактировалось Макcим; 09.07.2007 в 19:32. Причина: Добавлено сообщение

  11. #10
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    ок, уберу его... правда в ограничениях там прописан только ip моего компа, вряд ли через него можно подключиться)

    хм, только что заметил про логи... все логи высылать, как в начале темы?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от martin79 Посмотреть сообщение
    хм, только что заметил про логи... все логи высылать, как в начале темы?
    Да. Как комп себя чувствует?

  13. #12
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Да. Как комп себя чувствует?
    идет на поправку

    не смог обнаружить в хайджеке этих строк...
    O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
    O20 - AppInit_DLLs: C:\WINDOWS\System32\syst4n0.dll

    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)


    сейчас выполняется первый стандартный скрипт (который syscure), это примерно полчаса по времени) как все завершиться, вышлю логи

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от martin79 Посмотреть сообщение
    не смог обнаружить в хайджеке этих строк...
    Это хорошо.
    Цитата Сообщение от martin79 Посмотреть сообщение
    сейчас выполняется первый стандартный скрипт (который syscure), это примерно полчаса по времени)
    А почему так долго?

  15. #14
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    долго, потому что он диск С: проверяет... может после чистки быстрее проверит?

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от martin79 Посмотреть сообщение
    может после чистки быстрее проверит?
    Посмотрим

  17. #16
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    проверка длилась даже больше, аж 55 минут...
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от martin79 Посмотреть сообщение
    проверка длилась даже больше, аж 55 минут...
    У Вас архивов много. Целых 118666 AVZ их распаковывал и проверял.

    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
     BC_QrSvc('Microsoft security update service');
     BC_QrSvc('MS Internet Countermeasures Framework2b');
     BC_QrFile('C:\WINDOWS\system32\qz.sys');
     BC_QrFile('c:\windows\system32\msvcrtd.exe');
     BC_QrFile('C:\WINDOWS\System32\svchost.exe:ext.exe');
     BC_DeleteSvc('Microsoft security update service');
     BC_DeleteSvc('MS Internet Countermeasures Framework2b');
     BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
     BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
     BC_DeleteFile('C:\WINDOWS\System32\svchost.exe:ext.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  19. #18
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    снова все три лога?

    Добавлено через 2 минуты
    карантин выслал

    Добавлено через 5 минут
    время позднее, логи будут завтра утром
    Последний раз редактировалось martin79; 09.07.2007 в 22:02. Причина: Добавлено сообщение

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Ок. Как самочувствие компьютера?

  21. #20
    Junior Member Репутация
    Регистрация
    06.07.2007
    Сообщений
    21
    Вес репутации
    39
    с утра не получилось, отправляю сейчас три лога
    Вложения Вложения

  • Уважаемый(ая) martin79, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Trojan.Spambot.origin и Trojan.Siggen.18257
      От Pinacle в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.01.2010, 16:33
    2. Trojan.Spambot.origin и Trojan.Siggen.18257 - пытаемся вылечить руками
      От An4xu в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 29.01.2010, 17:59
    3. Ответов: 10
      Последнее сообщение: 31.12.2009, 01:36
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    5. Win32.HLLW.Autoraner.1080 , Trojan.NTRootKit.437 , Trojan.Spambot.2478
      От Sky_Tech в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.02.2008, 09:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01046 seconds with 17 queries