Начало сдесь
http://virusinfo.info/showthread.php?t=12027
Вообщем суть такая:
был нод32, он нашел зараженный файл win_sl2.exe и удалил его
Вылазит окошко при запуске (смотри по ссылке картинку)
+ еще spoolsv.exe грузит проц(но его я вроде убил)
Начало сдесь
http://virusinfo.info/showthread.php?t=12027
Вообщем суть такая:
был нод32, он нашел зараженный файл win_sl2.exe и удалил его
Вылазит окошко при запуске (смотри по ссылке картинку)
+ еще spoolsv.exe грузит проц(но его я вроде убил)
выполните скрипт ...
пришлите карантин согласно пиложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('EM32\LOL.EXE',''); QuarantineFile('mgsguard32.exe',''); QuarantineFile('s3cure.exe',''); QuarantineFile('C:\WINDOWS\System32\win_sl2.exe',''); QuarantineFile('C:\WINDOWS\RTHDCPL.EXE',''); QuarantineFile('c:\windows\system32\nod32p.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Отправил
куда вы отправили? закачать карантин нужно по ссылке http://virusinfo.info/upload_virus.php?tid=12038
Пофиксте в HijackThis следующие строки:
выполните скрипт ...O4 - HKLM\..\Run: [windows vista update] mgsguard32.exe
O4 - HKLM\..\Run: [Windows 32Bit Secure System] s3cure.exe
O4 - HKLM\..\Run: [WinDLL (win_sl2.exe)] rundll32.exe C:\WINDOWS\System32\win_sl2.exe,start
O4 - HKLM\..\Run: [Winsock2 wqr1s] EM32\LOL.EXE
O4 - HKLM\..\RunServices: [windows vista update] mgsguard32.exe
O4 - HKLM\..\RunServices: [Windows 32Bit Secure System] s3cure.exe
O4 - HKCU\..\Run: [windows vista update] mgsguard32.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [Winsock2 wqr1s] EM32\LOL.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Winsock2 wqr1s] EM32\LOL.EXE (User 'Default user')
пришлите карантин согласно пиложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('mgsguard32.exe',''); QuarantineFile('s3cure.exe',''); QuarantineFile('c:\windows\system32\nod32p.exe',''); RebootWindows(true); end.
Сделайте новый лог HijackThis и приложите к теме.
slmss.exe это что то новенькое. Что про него KAV говорит?
Пришлите его:
C:\WINDOWS\System32\slmss.exe
по Правилам.
NOD32 был на компьютере, а затем вы его удалили?
Значит NOD32 Patcher вам уже не нужен?
PS. SP 2 на Windows XP давно надо было бы установить.
C:\WINDOWS\System32\slmss.exe
Код:File avz00002__1_._ta received on 08.31.2007 13:21:00 (CET) Antivirus Version Last Update Result AhnLab-V3 2007.9.1.0 2007.08.31 Win32/IRCBot.worm.variant AntiVir 7.4.1.66 2007.08.31 TR/Agent.81920.18 Authentium 4.93.8 2007.08.31 W32/Backdoor.AWUM Avast 4.7.1029.0 2007.08.30 Win32:Akbot AVG 7.5.0.484 2007.08.31 BackDoor.Generic7.IZQ BitDefender 7.2 2007.08.31 DeepScan:Generic.Malware.G!IX!g.EDC05731 CAT-QuickHeal 9.00 2007.08.30 Backdoor.Akbot.e ClamAV 0.91.2 2007.08.31 Trojan.Akbot DrWeb 4.33 2007.08.31 BackDoor.IRC.Akbot eSafe 7.0.15.0 2007.08.29 Win32.Akbot.e eTrust-Vet 31.1.5099 2007.08.31 Win32/Pomabot!generic Ewido 4.0 2007.08.31 Backdoor.Akbot.e FileAdvisor 1 2007.08.31 - Fortinet 3.11.0.0 2007.08.31 W32/Akbot_worm_MS06.040 F-Prot 4.3.2.48 2007.08.31 W32/Backdoor.AWUM F-Secure 6.70.13030.0 2007.08.31 Backdoor.Win32.Akbot.e Ikarus T3.1.1.12 2007.08.31 Backdoor.Win32.Akbot.h Kaspersky 4.0.2.24 2007.08.31 Backdoor.Win32.Akbot.e McAfee 5109 2007.08.30 W32/Akbot.worm!MS06-040 Microsoft 1.2803 2007.08.31 Backdoor:Win32/Rbot!8C1E NOD32v2 2493 2007.08.31 probably a variant of Win32/Agent Norman 5.80.02 2007.08.30 - Panda 9.0.0.4 2007.08.31 W32/Ircbot.AXM.worm Prevx1 V2 2007.08.31 W32.MALWARE.GEN Rising 19.38.42.00 2007.08.31 Backdoor.Win32.Akbot.e Sophos 4.21.0 2007.08.31 W32/Akbot-AS Sunbelt 2.2.907.0 2007.08.25 - Symantec 10 2007.08.31 Downloader TheHacker 6.1.9.175 2007.08.31 Backdoor/Akbot.e VBA32 3.12.2.3 2007.08.30 Backdoor.Win32.Akbot.e VirusBuster 4.3.26:9 2007.08.30 Worm.Akbot.Gen Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Agent.81920.18 Additional information File size: 81920 bytes MD5: 2da61ccdc7e61781cdbd0edc36d72cc2
А вот то что я не успел отправить содержимое карантина господину
V_Bond, имеет значение или нет
т.е. нужно(можно) ли мне повторить его скрипт и отправить содержимое ему(в смысле сюда)
Обязательно надо отправить карантин. Его многие желают увидеть.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
LOL.EXE -вам знакомо ?
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('EM32\LOL.EXE',''); QuarantineFile('C:\WINDOWS\System32\win_sl2.exe',''); QuarantineFile('C:\WINDOWS\RTHDCPL.EXE',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
вы прислали c:\windows\system32\nod32p.exe (в этот раз его не запрашивали) ... остального нет ...
лучше давайте с первого скрипта ... будем смотреть ....
Залит на http://stream.ifolder.ru/3179865
Пароль: virus
В нем три раза C:\WINDOWS\RTHDCPL.EXE (16М)
Последний раз редактировалось PavelA; 31.08.2007 в 17:02.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вы говорите вышлите содержимое карантина-я высылаю
А че одинаковые файлы можно не слать
учитывая размер получившегося карантина,дублирующиеся фалы лучше не присылать,хватит и одного экземпляра
Вообщем выслал карантин без одинаковых файлов
Файл сохранён как 070901_045511_virus_46d936ffb476d.zip
Последний раз редактировалось drug; 03.09.2007 в 12:20.
Ups
Уважаемый(ая) drug, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.