Показано с 1 по 20 из 20.

снова гады :((( (заявка № 11057)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39

    Question снова гады :(((

    Вобщем по пунктам:

    1. еще когда до этого лечился у вас и полностью почистился как вы сказали, всер авно обнаружил ( и сейчас вот то же), что при выполнении стандартных скриптов на АВЗ в теле утилиты пишется "Прямое чтение с С:\WINDOWS\Temp\armA54.tmp" хотя вредоносных файлов 0. И хэлперы при этом же говорили, что логи чистые... Кстати, пытался найти вручную с помощью стандартного "помощника по поиску" и с помощью АВЗ - не находит и не видит такого файла... что это может быть?

    2. тоже самое как в п.1 только речь теперь о другом файле, о нем в теле АВЗ пишет:
    C:\Program Files\The Bat!\thebat.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
    Файл "C:\Program Files\The Bat!\thebat.exe.BAK" успешно помещен в карантин

    3. то же, что и в пп.1-2. но еще другой файл:
    C:\Documents and Settings\Матухно\Local Settings\Temp\dodatok_flash_1\ZIMIN.ZIP Invalid file - not a PKZip file

    4. вот буквально с полчаса назад перешел по ссылке с официального (!) городского ресурса по двум другим ссылкам (если надо могу их указать в личку). и, видимо, сайты, на которые они ведут заражены или их хакнули, покрайней мере мой НОД сразу написал что там троян, но какой-то вроде новый и не смог удалить. после этого я запустил АВЗ, но и там в теле ничего вроде стандартных фраз "удалено/перемещено в карантин" не писалось, хотя вот я точно знаю что словил вирус, т.к. обнаружил файл с икзэшным расширением прям на С:\msntuyap.exe Потом проверил этот файл на ВирусТотале (вот результат: http://www.virustotal.com/resultado.html?61dacf66054213751f721688ac3ae244 ). Таки вирус, и если это таки пинч, то буду сейчас менять пароли. Помогите, плиз, убить и эту дрянь! Да, и НОД тут ругался, что что-то попало во врменнные файлы, поэтому я их почистил, удалили куки.


    Логи цепляю...
    Последний раз редактировалось punk_prankster; 21.02.2008 в 20:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe','');
     QuarantineFile('c:\msntuyap.exe','');
     QuarantineFile('C:\WINDOWS\Temp\armA54.tmp','');
     DeleteFile('c:\msntuyap.exe');
     DeleteFile('C:\WINDOWS\Temp\armA54.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11057
    Поменяйте на всякий пожарный пароли, хотя каспер говорит что просто качалка вирусов.
    Последний раз редактировалось drongo; 14.07.2007 в 21:29.

  4. #3
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    сейчас выполню прописанный вами скрипт. вот еще буквально только что просканировался НОДом. высылаю 2 скрина: в одном логи по обычному скану, в другом - в глубоком режиме.
    Последний раз редактировалось punk_prankster; 16.07.2007 в 13:04.

  5. #4
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    повторные логи делать?
    Последний раз редактировалось punk_prankster; 15.07.2007 в 11:57. Причина: Добавлено сообщение

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Сделайте.

  7. #6
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    новые логи.
    Последний раз редактировалось punk_prankster; 21.02.2008 в 20:53.

  8. #7
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    так что слышно с логами?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Карантин за вчерашнее число с одним файликом пришли.
    Попробуем его загнать на virustotal, потом по имени будем искать описание и способы лечения.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    а тем временем, когда вот делал сегодня логи пишется:

    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\IH58D.tmp
    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\IH58F.tmp
    Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\IH59C.tmp

    Но при этом выдает: найдено вредоносных программ 0


    И еще, что-то не то при скане АВЗ, когда уже отсканировано 97% вылазит ошибка "Нет устройства в диске. Вставьте диск в устройство Е". Рантше такого не появлялось...
    Последний раз редактировалось punk_prankster; 21.02.2008 в 20:53.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Про файлы это нормально. Не надо бояться.
    Тот карантин, что я просил, загрузи плс.

    Вся проблема заключается в том, что Ваш антивирус хорошо опред. файлы, но в их базах нет описания, что он заражает. Есть вероятность, что еще несколько файлов входят в комплект данного зловреда.
    Хотелось бы их удалить тоже.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    ок, сейчас вышлю карантин тот. я вначале невнимательно прочитал - показалось, что "пришел", а не "пришлИ"

    пока я буду загружать карантин, посмотри пожалуйста вот еще что...
    начал я вручную лазить по папкам, зашел на C:\WINDOWS и нашел там несколько экзешных файлов с очень странными названиями, проверил их по ВирусТоталу, но толком что-то не понял... Вобщем вот это все добро:

    1. C:\WINDOWS\rmdjetbu.exe
    http://www.virustotal.com/resultado.html?858f33baeeb9aa8dd27ef3568a31c9dc

    2. C:\WINDOWS\wiecnauv.exe
    http://www.virustotal.com/resultado.html?8cd11030c72f8d5e14f8fa5f9ac8394a
    3. C:\WINDOWS\yechjyev.exe
    http://www.virustotal.com/resultado.html?84213df133475f8b8ee7de82bebc16c3

    4. C:\WINDOWS\wijwffrt.exe
    а вот в этом файле пишет 0 бит объема и не грузит на сайт для проверки.



    Добавлено через 6 минут
    упс... зашел только что в просмотр карантина, так там нет карнтина за 15 число (хотя я вчера его точно для drongo отправлял - и он выслался!!! он еще окло 8 метров весил), есть за 14 (там 4 файла в карантине armA54.tmp, thebat.exe.bak, msntuyap.exe и pragma.exe) и 16 (здесь только thebat.exe.bak).
    Последний раз редактировалось punk_prankster; 16.07.2007 в 14:21. Причина: Добавлено сообщение

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от punk_prankster Посмотреть сообщение
    armA54.tmp
    интересен только этот файл. Очень хочется узнать, что это такэ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    интересен только этот файл. Очень хочется узнать, что это такэ.
    карантин выслал, но там сам файл вроде ничего не весит...

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Он был за 15.07.2007
    В том что прислали его нет

    Пришлите за эту дату.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    Он был за 15.07.2007
    В том что прислали его нет

    Пришлите за эту дату.
    в то-то и дело, что в списке файлов нет файла за 15 число. а тот, что я высла, он его видит и архивирует, но рядом со словом размер стоит "0".
    Последний раз редактировалось punk_prankster; 17.07.2007 в 17:36. Причина: Добавлено сообщение

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от punk_prankster Посмотреть сообщение
    Вобщем вот это все добро:

    1. C:\WINDOWS\rmdjetbu.exe
    http://www.virustotal.com/resultado....7ef3568a31c9dc

    2. C:\WINDOWS\wiecnauv.exe
    http://www.virustotal.com/resultado....f8fa5f9ac8394a
    3. C:\WINDOWS\yechjyev.exe
    http://www.virustotal.com/resultado....e7de82bebc16c3

    4. C:\WINDOWS\wijwffrt.exe
    а вот в этом файле пишет 0 бит объема и не грузит на сайт для проверки.
    Загони их в карантин и пришли. Постарайся чтобы он был только с ними.
    Результаты на www.virustotal.com не сохраняются, надо их просто копировать в файл.
    Кстати, если это добро живо, можешь проверить их еще разок на www.virustotal.com и прислать отчет не ссылкой, а в виде текстового файла.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    Результат загрузки

    Файл сохранён как 070718_230116_virus_469e637cd5e7d.zip

    Размер файла 11957MD5d949a21c3bf3085a8c5a713cd8a89b84


    в карантин загрузилось все, кроме файла из п.4. (тот, что ничего не весит)... может логи новые сделать?

  19. #18
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    вот только что по ходу скана в АВЗ, что-то троянское убилось с С:\
    В Hijack логе вроде чисто всё, покрайней мере я там ничего подозрительного не нашел. А вот АВЗшные проверьте, плиз.
    Последний раз редактировалось punk_prankster; 21.02.2008 в 20:53.

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    rmdjetbu.exe - Rustock.dam - по общим описаниям Downloader. Что-то загрузил и ушел в тину.
    Остальные шифрованные, поэтому на них есть подозрения, что это вирусы.
    Очень плохо, что все время залетает что-то новое. Надо поставить фаервалл и посмотреть откуда это. Может просто сайт, на который ты любишь ходить заражен?

    Пиши адрес сайта, после посещения которого обнаруж. троянов. Аналитики посмотрят страничку.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    31.05.2007
    Сообщений
    123
    Вес репутации
    39
    ok, как только, так сразу *обнаружится снова что-то*...
    а вообще я проверил все сайты, по которым я стандартно хожу на он-лайн проверке сайта Др.ВЕБ

    Добавлено через 3 минуты
    кстати, хотел давно спросить: как-то можно посмотреть список посещенных страниц кроме традиционного способа в журнале, т.е. программки какие-то или еще что-то, только бесплатное
    Последний раз редактировалось punk_prankster; 20.07.2007 в 20:02. Причина: Добавлено сообщение

  • Уважаемый(ая) punk_prankster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 05.02.2010, 18:18
    2. Ответов: 1
      Последнее сообщение: 27.10.2009, 10:59
    3. Почтовые ГАДЫ !
      От alexsadko68 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 20.03.2009, 08:57
    4. Троянцы и прочие гады
      От writeme в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2008, 18:04
    5. Ответов: 10
      Последнее сообщение: 17.08.2007, 10:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00600 seconds with 16 queries