-
Junior Member
- Вес репутации
- 62
снова гады :(((
Вобщем по пунктам:
1. еще когда до этого лечился у вас и полностью почистился как вы сказали, всер авно обнаружил ( и сейчас вот то же), что при выполнении стандартных скриптов на АВЗ в теле утилиты пишется "Прямое чтение с С:\WINDOWS\Temp\armA54.tmp" хотя вредоносных файлов 0. И хэлперы при этом же говорили, что логи чистые... Кстати, пытался найти вручную с помощью стандартного "помощника по поиску" и с помощью АВЗ - не находит и не видит такого файла... что это может быть?
2. тоже самое как в п.1 только речь теперь о другом файле, о нем в теле АВЗ пишет:
C:\Program Files\The Bat!\thebat.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Файл "C:\Program Files\The Bat!\thebat.exe.BAK" успешно помещен в карантин
3. то же, что и в пп.1-2. но еще другой файл:
C:\Documents and Settings\Матухно\Local Settings\Temp\dodatok_flash_1\ZIMIN.ZIP Invalid file - not a PKZip file
4. вот буквально с полчаса назад перешел по ссылке с официального (!) городского ресурса по двум другим ссылкам (если надо могу их указать в личку). и, видимо, сайты, на которые они ведут заражены или их хакнули, покрайней мере мой НОД сразу написал что там троян, но какой-то вроде новый и не смог удалить. после этого я запустил АВЗ, но и там в теле ничего вроде стандартных фраз "удалено/перемещено в карантин" не писалось, хотя вот я точно знаю что словил вирус, т.к. обнаружил файл с икзэшным расширением прям на С:\msntuyap.exe Потом проверил этот файл на ВирусТотале (вот результат: http://www.virustotal.com/resultado.html?61dacf66054213751f721688ac3ae244 ). Таки вирус, и если это таки пинч, то буду сейчас менять пароли. Помогите, плиз, убить и эту дрянь! Да, и НОД тут ругался, что что-то попало во врменнные файлы, поэтому я их почистил, удалили куки.
Логи цепляю...
Последний раз редактировалось punk_prankster; 21.02.2008 в 20:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\TRIDEN~1\Pragma\pragma.exe','');
QuarantineFile('c:\msntuyap.exe','');
QuarantineFile('C:\WINDOWS\Temp\armA54.tmp','');
DeleteFile('c:\msntuyap.exe');
DeleteFile('C:\WINDOWS\Temp\armA54.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11057
Поменяйте на всякий пожарный пароли, хотя каспер говорит что просто качалка вирусов.
Последний раз редактировалось drongo; 14.07.2007 в 22:29.
-
-
Junior Member
- Вес репутации
- 62
сейчас выполню прописанный вами скрипт. вот еще буквально только что просканировался НОДом. высылаю 2 скрина: в одном логи по обычному скану, в другом - в глубоком режиме.
Последний раз редактировалось punk_prankster; 16.07.2007 в 14:04.
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось punk_prankster; 15.07.2007 в 12:57.
Причина: Добавлено сообщение
-
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось punk_prankster; 21.02.2008 в 20:53.
-
Junior Member
- Вес репутации
- 62
-
Карантин за вчерашнее число с одним файликом пришли.
Попробуем его загнать на virustotal, потом по имени будем искать описание и способы лечения.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
а тем временем, когда вот делал сегодня логи пишется:
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\IH58D.tmp
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\IH58F.tmp
Прямоечтение C:\Documents and Settings\Матухно\Local Settings\Temp\IH59C.tmp
Но при этом выдает: найдено вредоносных программ 0
И еще, что-то не то при скане АВЗ, когда уже отсканировано 97% вылазит ошибка "Нет устройства в диске. Вставьте диск в устройство Е". Рантше такого не появлялось...
Последний раз редактировалось punk_prankster; 21.02.2008 в 20:53.
-
Про файлы это нормально. Не надо бояться.
Тот карантин, что я просил, загрузи плс.
Вся проблема заключается в том, что Ваш антивирус хорошо опред. файлы, но в их базах нет описания, что он заражает. Есть вероятность, что еще несколько файлов входят в комплект данного зловреда.
Хотелось бы их удалить тоже.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
ок, сейчас вышлю карантин тот. я вначале невнимательно прочитал - показалось, что "пришел", а не "пришлИ"
пока я буду загружать карантин, посмотри пожалуйста вот еще что...
начал я вручную лазить по папкам, зашел на C:\WINDOWS и нашел там несколько экзешных файлов с очень странными названиями, проверил их по ВирусТоталу, но толком что-то не понял... Вобщем вот это все добро:
1. C:\WINDOWS\rmdjetbu.exe
http://www.virustotal.com/resultado.html?858f33baeeb9aa8dd27ef3568a31c9dc
2. C:\WINDOWS\wiecnauv.exe
http://www.virustotal.com/resultado.html?8cd11030c72f8d5e14f8fa5f9ac8394a
3. C:\WINDOWS\yechjyev.exe
http://www.virustotal.com/resultado.html?84213df133475f8b8ee7de82bebc16c3
4. C:\WINDOWS\wijwffrt.exe
а вот в этом файле пишет 0 бит объема и не грузит на сайт для проверки.
Добавлено через 6 минут
упс... зашел только что в просмотр карантина, так там нет карнтина за 15 число (хотя я вчера его точно для drongo отправлял - и он выслался!!! он еще окло 8 метров весил), есть за 14 (там 4 файла в карантине armA54.tmp, thebat.exe.bak, msntuyap.exe и pragma.exe) и 16 (здесь только thebat.exe.bak).
Последний раз редактировалось punk_prankster; 16.07.2007 в 15:21.
Причина: Добавлено сообщение
-
Сообщение от
punk_prankster
armA54.tmp
интересен только этот файл. Очень хочется узнать, что это такэ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
интересен только этот файл. Очень хочется узнать, что это такэ.
карантин выслал, но там сам файл вроде ничего не весит...
-
Он был за 15.07.2007
В том что прислали его нет
Пришлите за эту дату.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
Он был за 15.07.2007
В том что прислали его нет
Пришлите за эту дату.
в то-то и дело, что в списке файлов нет файла за 15 число. а тот, что я высла, он его видит и архивирует, но рядом со словом размер стоит "0".
Последний раз редактировалось punk_prankster; 17.07.2007 в 18:36.
Причина: Добавлено сообщение
-
Сообщение от
punk_prankster
Загони их в карантин и пришли. Постарайся чтобы он был только с ними.
Результаты на www.virustotal.com не сохраняются, надо их просто копировать в файл.
Кстати, если это добро живо, можешь проверить их еще разок на www.virustotal.com и прислать отчет не ссылкой, а в виде текстового файла.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Результат загрузки
Файл сохранён как 070718_230116_virus_469e637cd5e7d.zip
Размер файла 11957MD5d949a21c3bf3085a8c5a713cd8a89b84
в карантин загрузилось все, кроме файла из п.4. (тот, что ничего не весит)... может логи новые сделать?
-
Junior Member
- Вес репутации
- 62
вот только что по ходу скана в АВЗ, что-то троянское убилось с С:\
В Hijack логе вроде чисто всё, покрайней мере я там ничего подозрительного не нашел. А вот АВЗшные проверьте, плиз.
Последний раз редактировалось punk_prankster; 21.02.2008 в 20:53.
-
rmdjetbu.exe - Rustock.dam - по общим описаниям Downloader. Что-то загрузил и ушел в тину.
Остальные шифрованные, поэтому на них есть подозрения, что это вирусы.
Очень плохо, что все время залетает что-то новое. Надо поставить фаервалл и посмотреть откуда это. Может просто сайт, на который ты любишь ходить заражен?
Пиши адрес сайта, после посещения которого обнаруж. троянов. Аналитики посмотрят страничку.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
ok, как только, так сразу *обнаружится снова что-то*...
а вообще я проверил все сайты, по которым я стандартно хожу на он-лайн проверке сайта Др.ВЕБ
Добавлено через 3 минуты
кстати, хотел давно спросить: как-то можно посмотреть список посещенных страниц кроме традиционного способа в журнале, т.е. программки какие-то или еще что-то, только бесплатное
Последний раз редактировалось punk_prankster; 20.07.2007 в 21:02.
Причина: Добавлено сообщение