Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

У нас началась эпидемия! (заявка № 12673)

  1. #1
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61

    Question У нас началась эпидемия!

    Добрый день, Господа!
    Ситуация стандартная. Выскакивание окон с рекламой, постоянные подозрительные соединения при просмотре через nestat -a

    АВЗ - при выполнении п. 8 правил при начале выдает ошибку деления на ноль.

    HijackThis отработал.
    Посмотрите пожалуйста его лог. А я быду пытаться разобряться с АВЗ.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пришлите по правилам файлы:
    C:\WINDOWS\system32\awtsr.dll
    C:\WINDOWS\system32\dofyyfkl.dll
    C:\WINDOWS\system32\alobeboe.dll
    C:\WINDOWS\system32\tmhhskfm.exe

    Если лог п.8 правил никак не получается, сделайте хотя бы п.10.
    I am not young enough to know everything...

  4. #3

  5. #4
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61
    Огромное спасибо всем!
    Я думаю, что эти файлы - последствие. В папке system32 - много аналогичных.
    Зараза распространяется.
    Я забыл написать, что проверял всем, что было под руками-
    NOD32,
    Symantec,
    Kaspersky для фал серверов,
    еще парой-тройкой песполезных AdWare.
    Я заметил, что при установленом антивирусе, после того как он вычистит,
    файлы не появляются.
    Цитата:
    Файл сохранён как 070923_072441_Вирус_46f65b0952bb0.zip
    Размер файла 416055
    MD5 9ee468c41ff568feb661d078f4f91df0
    Файл закачан, спасибо!

    Добавлено через 1 минуту

    Получилось запустить АВЗ. Жду результата. Еще раз спасибо.
    Последний раз редактировалось Demas; 23.09.2007 в 16:31. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Цитата Сообщение от Demas Посмотреть сообщение
    Получилось запустить АВЗ. Жду результата. Еще раз спасибо.
    Приложите логи AVZ, будет результат.
    Опыт — это слово, которым люди называют свои ошибки.

  7. #6
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61
    Логи АВЗ
    Осталтные фалы постить?
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Нужно 2 лога по правилам.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\alobeboe.dll');
     DeleteFile('C:\WINDOWS\system32\awtsr.dll');
     DeleteFile('C:\WINDOWS\system32\tmhhskfm.exe');
     DeleteFile('C:\WINDOWS\system32\dofyyfkl.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {7E442097-BBE0-4F01-BDE4-86B023342723} - C:\WINDOWS\system32\awtsr.dll
    O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\dofyyfkl.dll
    O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\alobeboe.dll",sitypnow
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    Перезагрузитесь еще раз и сделайте новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61
    Пока ничего не помогло.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    1. Пофиксите:
    C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
    O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator\windows\system32\mswsock.dl l' missing
    O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\tmhhskfm.exe (file missing)
    2. Скачайте winsockfix, если пропадет интернет, тогда воспользуетесь.
    3. Выполните пункт 2 правил - пролечитесь утилитой от доктора.
    4. SP 1 - надо обновлять!!
    Последний раз редактировалось Alex_Goodwin; 23.09.2007 в 19:14.

  12. #11
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61
    Пофиксить не дает. Ругается. Хотя О23 исчез. Но с ошибкой и просьбой передать инфу
    разработчку.

    П2 под нормальным режимом результата не дал. Буду гонять в безопасном. Если сервак загрузится.
    В безопасном быстрая проверка результата не дала.

    Добавлено через 13 минут

    По п. 4 SP2 стоял до сегодня. Утром система не стартовала. Переставлял поверх. Видимо СП2 слетел в прошлое. Поставить сейчас или можно потом?

    Добавлено через 3 минуты

    п2. В темповых папках пользователей нашел пару копий Trojan.Virtumod.
    Но мне кажется, что это следствие. А где причина понять не могу.

    Добавлено через 9 минут

    Не понятно как пофиксить вот это
    C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe?
    Последний раз редактировалось Demas; 23.09.2007 в 19:40. Причина: Добавлено

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Пуск > Выполнить; вписать sc delete DomainService нажать ОК ...
    повторите логи ...

  14. #13
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    Пуск > Выполнить; вписать sc delete DomainService нажать ОК ...
    повторите логи ...
    Не получается. Выдает, что указанная служба не установлена.
    HijackThis показывает, что smss.exe - работает.

    Добавлено через 59 секунд

    В папке C:\Documents and Settings\Administrator\WINDOWS\System32\
    файлов нет.

    Добавлено через 2 минуты

    Как удалить???

    Добавлено через 3 минуты

    Может через рековери консоль его??? (Вот только не знаю, выдержат ли дискеты еще раз установку драйверов RAID-контроллера).
    Последний раз редактировалось Demas; 23.09.2007 в 20:02. Причина: Добавлено

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\ie4uinit.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\winrnr.dll','');
     QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');     
     DeleteFile('C:\WINDOWS\system32\tmhhskfm.exe');
     BC_DeleteSvc('DomainService');
     BC_ImportDeletedList;     
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  16. #15
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61
    Процесс cmss.exe не исчез. Что делать?
    Карантин отправил:
    070923_123036_2007-09-23_46f6a2bcd8296.zip
    Размер файла 2354235 MD5 4ffec350dd2fa57282a7bb9448c97357
    Вложения Вложения
    Последний раз редактировалось Demas; 23.09.2007 в 21:31.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от Demas Посмотреть сообщение
    Процесс cmss.exe не исчез. Что делать?
    его пока не трогали.... от вас требовался карантин ... а не логи...

  18. #17
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61
    Вот он карантин . В предыдущем посте.
    Извините, торможу. Сегодня третья ночь на работе.
    Последний раз редактировалось Demas; 23.09.2007 в 21:38.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    есть два вопроса ...
    1. вы последний скрипт не выполняли ?
    2. вы что работаете в теминальном режиме ?
    3. Выполните скрипт:
    Код:
    begin
     ClearQuarantine;
    end.
    Последний раз редактировалось Alex_Goodwin; 23.09.2007 в 21:51.

  20. #19
    Junior Member Репутация
    Регистрация
    23.09.2007
    Сообщений
    35
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    есть два вопроса ...
    1. вы последний скрипт не выполняли ?
    2. вы что работаете в теминальнои режиме ?
    Скрит выполнял. Работаю локально. Под админом. В обычном режиме.
    Пользователей на сервере нет.

    Добавлено через 2 минуты

    Выше я писал, что эта зараза размножается. Я ее вчера рубил и Нодом, и Симантеком, и Касперским результата нет. Все появляется снова.

    Добавлено через 2 минуты

    В \Windows\System32 - вообще страшно смотреть.
    Последний раз редактировалось Demas; 23.09.2007 в 21:53. Причина: Добавлено

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    давайте так попробуем .... выполните скрипт из поста 18 затем из поста 14 ...
    пришлите карантин .... если там будут запрошенные файлы ...

  • Уважаемый(ая) Demas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирус snatch.exe - В Рунете началась вирусная ICQ-эпидемия
      От XeNuM в разделе Новости компьютерной безопасности
      Ответов: 21
      Последнее сообщение: 17.08.2010, 10:36
    2. AVZ скачалась, но не запускаетсяАналогичный
      От gargoyles в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 13.11.2009, 22:04
    3. Ответов: 9
      Последнее сообщение: 09.02.2007, 03:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01321 seconds with 20 queries