Показано с 1 по 17 из 17.

Не осталось ли еще чего после лечения... (заявка № 10958)

  1. #1
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69

    Exclamation Не осталось ли еще чего после лечения...

    Был найден небольшой зверинец, вроде полечил, но не уверен что до конца, потому как проблемы с инетом переодически вылезают опять.
    Проходился AVZ и NOD32
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\time.bat','');
     QuarantineFile('D:\WINNT\system32\sysmon\sysmon.exe','');
     QuarantineFile('D:\WINNT\system32\HOLIDA~1.SCR','');
     QuarantineFile('d:\winnt\system32\msvcrtd.exe','');
     DeleteFile('d:\winnt\system32\msvcrtd.exe');
     ClearHostsFile;
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Прислал
    Файл сохранён как 070710_184934_virus_46939c7e5ec74.zip
    Размер файла 357772
    MD5 4364f19a7e8b672bc518261d858c9511

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    msvcrtd.exe - Backdoor.Win32.Agent.alm

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Этот файл уже удалили,проблема осталась?
    Повторите логи

  7. #6
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Файл из каталога исчез, проблемы тоже пока не проявлялись, но активно компом будут пользоваться завтра.
    Логи повторяю.
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINNT\system32\sysmon\sysmon.exe','');
     QuarantineFile('D:\WINNT\svchost32.exe','');
     DeleteFile('D:\WINNT\svchost32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

  9. #8
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Карантин пуст...

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Повторите логи.

  11. #10
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Повторяю
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    time.bat и sysmon.exe сами ставили в автозагрузку?

    Добавлено через 12 минут
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     QuarantineFile('D:\WINNT\Downloaded Program Files\popcaploader.dll','');
     QuarantineFile('D:\WINNT\SYSTEM\Mra.EXE','');
     DeleteFile('D:\WINNT\Downloaded Program Files\popcaploader.dll');  
     DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A');
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите".
    Последний раз редактировалось Макcим; 11.07.2007 в 15:47. Причина: Добавлено сообщение

  13. #12
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Цитата Сообщение от Maxim Посмотреть сообщение
    time.bat и sysmon.exe сами ставили в автозагрузку?
    time.bat синхронизирует время при загрузке (net time \\ws2 /set /yes)
    А вот что такое sysmon.exe - не знаю, и в автозагрузке его не видно...
    Скрипт прогоню чуть позже, когда рабочий день закончится.

    Кстати, файла sysmon.exe в каталоге D:\WINNT\System32\sysmon\ нету, по крайней мере обычными средствами он не виден...
    Так что его, видимо, тоже надо в карантин?

    Добавлено через 1 час 3 минуты
    Закачал карантин
    Файл сохранён как 070711_180929_virus_4694e4993ad3e.zip
    Размер файла 337989
    MD5 e28debdb3748ee75472f568f063a83c0
    Последний раз редактировалось Arhimed; 11.07.2007 в 18:10. Причина: Добавлено сообщение

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Файл чистый.

    Добавлено через 54 минуты
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     BC_QrFile('D:\WINNT\system32\sysmon\sysmon.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.puh.ru/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
    O4 - HKCU\..\Run: [sysmon] D:\WINNT\system32\sysmon\sysmon.exe
    Если после скрипта что-то попадет в карантин, пришлите по правилам раздела "Помогите". Повторите логи.
    Последний раз редактировалось Макcим; 11.07.2007 в 19:50. Причина: Добавлено сообщение

  15. #14
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    Карантин пустой, логи прикладываю.
    В HijackThis последней строки
    O4 - HKCU\..\Run: [sysmon] D:\WINNT\system32\sysmon\sysmon.exe
    не было, все остальные пофиксил.
    Последний раз редактировалось Arhimed; 17.07.2007 в 14:48.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Сделайте поиск sysmon.exe при помощи AVZ--сервис-- поиск файлов на диске и если найдётся, то пришлите его по правилам.

  17. #16
    Junior Member Репутация
    Регистрация
    02.08.2005
    Адрес
    Воронеж
    Сообщений
    97
    Вес репутации
    69
    sysmon.exe не нашелся. Каталог в котором он лежал спокойно удалился.
    Сделал поиск по sysmon.* нашлись с расширениями txt, hlp, chm, ocx, думаю это не то, это виндовые.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Выполните
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     SysCleanAddFile('sysmon.exe');
     ExecuteSysClean;
    RebootWindows(true);
    end.
    повторите логи.

  • Уважаемый(ая) Arhimed, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 22.02.2010, 04:13
    2. Осталось ли что после лечения?
      От Delion в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.01.2010, 13:43
    3. Проверьте, осталось что-то после лечения?
      От mrHill в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.01.2010, 21:30
    4. Ответов: 11
      Последнее сообщение: 18.11.2009, 22:43
    5. Что то осталось после лечения.
      От Skvoll в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.02.2009, 19:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00391 seconds with 19 queries