Был найден небольшой зверинец, вроде полечил, но не уверен что до конца, потому как проблемы с инетом переодически вылезают опять.
Проходился AVZ и NOD32
Был найден небольшой зверинец, вроде полечил, но не уверен что до конца, потому как проблемы с инетом переодически вылезают опять.
Проходился AVZ и NOD32
Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('D:\time.bat',''); QuarantineFile('D:\WINNT\system32\sysmon\sysmon.exe',''); QuarantineFile('D:\WINNT\system32\HOLIDA~1.SCR',''); QuarantineFile('d:\winnt\system32\msvcrtd.exe',''); DeleteFile('d:\winnt\system32\msvcrtd.exe'); ClearHostsFile; BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
The worst foe lies within the self...
Прислал
Файл сохранён как 070710_184934_virus_46939c7e5ec74.zip
Размер файла 357772
MD5 4364f19a7e8b672bc518261d858c9511
msvcrtd.exe - Backdoor.Win32.Agent.alm
Этот файл уже удалили,проблема осталась?
Повторите логи
Файл из каталога исчез, проблемы тоже пока не проявлялись, но активно компом будут пользоваться завтра.
Логи повторяю.
Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINNT\system32\sysmon\sysmon.exe',''); QuarantineFile('D:\WINNT\svchost32.exe',''); DeleteFile('D:\WINNT\svchost32.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Карантин пуст...
Повторите логи.
Повторяю
Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.
time.bat и sysmon.exe сами ставили в автозагрузку?
Добавлено через 12 минут
Выполните скрипт в AVZ
Пришлите файлы карантина по правилам раздела "Помогите".Код:begin ClearQuarantine; SearchRootkit(true, true); QuarantineFile('D:\WINNT\Downloaded Program Files\popcaploader.dll',''); QuarantineFile('D:\WINNT\SYSTEM\Mra.EXE',''); DeleteFile('D:\WINNT\Downloaded Program Files\popcaploader.dll'); DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A'); RebootWindows(true); end.
Последний раз редактировалось Макcим; 11.07.2007 в 15:47. Причина: Добавлено сообщение
time.bat синхронизирует время при загрузке (net time \\ws2 /set /yes)
А вот что такое sysmon.exe - не знаю, и в автозагрузке его не видно...
Скрипт прогоню чуть позже, когда рабочий день закончится.
Кстати, файла sysmon.exe в каталоге D:\WINNT\System32\sysmon\ нету, по крайней мере обычными средствами он не виден...
Так что его, видимо, тоже надо в карантин?
Добавлено через 1 час 3 минуты
Закачал карантин
Файл сохранён как 070711_180929_virus_4694e4993ad3e.zip
Размер файла 337989
MD5 e28debdb3748ee75472f568f063a83c0
Последний раз редактировалось Arhimed; 11.07.2007 в 18:10. Причина: Добавлено сообщение
Файл чистый.
Добавлено через 54 минуты
Выполните скрипт в AVZ
"Пофиксите" в HijackThisКод:begin ClearQuarantine; BC_QrFile('D:\WINNT\system32\sysmon\sysmon.exe'); BC_Activate; RebootWindows(true); end.Если после скрипта что-то попадет в карантин, пришлите по правилам раздела "Помогите". Повторите логи.Код:R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.puh.ru/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKCU\..\Run: [sysmon] D:\WINNT\system32\sysmon\sysmon.exe
Последний раз редактировалось Макcим; 11.07.2007 в 19:50. Причина: Добавлено сообщение
Карантин пустой, логи прикладываю.
В HijackThis последней строки
O4 - HKCU\..\Run: [sysmon] D:\WINNT\system32\sysmon\sysmon.exe
не было, все остальные пофиксил.
Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.
Сделайте поиск sysmon.exe при помощи AVZ--сервис-- поиск файлов на диске и если найдётся, то пришлите его по правилам.
sysmon.exe не нашелся. Каталог в котором он лежал спокойно удалился.
Сделал поиск по sysmon.* нашлись с расширениями txt, hlp, chm, ocx, думаю это не то, это виндовые.
Выполните
повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SysCleanAddFile('sysmon.exe'); ExecuteSysClean; RebootWindows(true); end.
Уважаемый(ая) Arhimed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.