Показано с 1 по 17 из 17.

Китайский вирус (заявка № 13035)

  1. #1
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    40

    Exclamation Китайский вирус

    День добрый, сотрудник нашей фирмы по работе пообщался посредством e-mail с китайскими друзьями, в результате нахватал всякой гадости...
    AVZ удалил пару aware с китайскими расширениями, гляньте плиз, наверняка что-то в системе осталось...
    спасибо.
    Последний раз редактировалось Antonnio; 21.01.2008 в 18:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\58e1.dll','');
     QuarantineFile('C:\Windows\System32\Check.exe','');
     QuarantineFile('C:\WINDOWS\Alaunch.exe','');
     QuarantineFile('C:\WINDOWS\Downlo~1\utb45.dll','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\dmcq.sys','');
     QuarantineFile('C:\WINDOWS\system32\8e001.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\e1lglv.sys','');
     QuarantineFile('C:\WINDOWS\system32\winlib .dll','');
     QuarantineFile('C:\WINDOWS\system32\uv9uzp.dll','');
     QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
     QuarantineFile('C:\Program Files\Common Files\CPUSH\cpush0.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки анализы, то бишь карантин пришлите согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    40
    Файл сохранён как 071009_075329_virus_470b79c9bc21d.zip
    Размер файла 638530
    MD5 dd40b563e0852a60ebed633f6f45c672

    я выполнил первый скрипт, комп пергрузился, потом выполнил второй скрипт, так что видимо в отправленном мной файле карантин только из второго скрипта, если он перезаписывается каждый раз...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    dmcq.sys, e1lglv.sys, uv9uzp.dll - Trojan-Downloader.Win32.Hmir.bu (KAV)
    58e1.dll - Trojan.Cinco (DrWeb)
    utb45.dll - DLOADER.Trojan (DrWeb)
    Check.exe - Trojan-PSW.Win32.WOW.lq (VBA32)
    Alaunch.exe - чистый.
    Кое что отправлено в вирлаб.
    I am not young enough to know everything...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\WINDOWS\System32\DRIVERS\dmcq.sys Trojan-Downloader.Win32.Hmir.bu
    C:\WINDOWS\system32\drivers\e1lglv.sys Trojan-Downloader.Win32.Hmir.bu
    C:\WINDOWS\system32\uv9uzp.dll Trojan-Downloader.Win32.Hmir.bu
    C:\WINDOWS\system32\58e1.dll Adware.Sagou.A
    C:\Windows\System32\Check.exe Win32.WOW.lq
    C:\WINDOWS\Alaunch.exe -чистый
    C:\WINDOWS\Downlo~1\utb45.dll Adware.Sagou.A
    C:\WINDOWS\system32\8e001.exe Adware.Sagou.A
    C:\WINDOWS\system32\drivers\Oreans.sys - чистый
    C:\WINDOWS\system32\drivers\mxdispdr.sys BackDoor-DMB.sys

    ыполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      DeleteFile('c:\windows\system32\8e001.exe');
     DeleteFile('C:\Program Files\Common Files\CPUSH\cpush0.dll');
     DeleteFile('C:\WINDOWS\system32\uv9uzp.dll');
     DeleteFile('C:\WINDOWS\system32\winlib .dll');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\e1lglv.sys');
     DeleteFile('\??\C:\WINDOWS\system32\drivers\mxdispdr.sys');
     DeleteFile('C:\WINDOWS\system32\8e001.exe');
     DeleteFile('C:\WINDOWS\Downlo~1\utb45.dll');
     DeleteFile('C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE');
     DeleteFile('C:\WINDOWS\system32\58e1.dll');
      DeleteFile('C:\WINDOWS\System32\DRIVERS\dmcq.sys');
    DeleteFile('C:\Windows\System32\Check.exe');
    BC_DeleteSvc('mxdispdr');
    BC_DeleteSvc('e1lglv');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true)
    end.
    повторите логи..

  7. #6
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    40
    сделал, логи повторяю...
    Последний раз редактировалось Antonnio; 21.01.2008 в 18:58.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Безобразие!! "Восстановление" включено. Вдруг там звери остались. После очередного приключения полезут как из ларца.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    40
    то есть сейчас все чисто?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Восстановление системы отключите, чтобы удалились зараженные точки восстановления.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - C:\WINDOWS\system32\58e1.dll (file missing)
    Остался один очень подозрительный файл:
    C:\WINDOWS\system32\winlib .dll
    (перед точкой пробел!)
    В карантин он не попал. Поищите вручную через AVZ и пришлите по правилам.
    I am not young enough to know everything...

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    winlib .dll - по всем признакам зверь ...

    Добавлено через 11 минут

    пофиксите ...
    Код:
    O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
    O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - C:\WINDOWS\system32\58e1.dll (file missing)
    выполните скрипт ...
    Код:
     
    begin
    SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\winlib .dll');
     BC_DeleteFile('C:\WINDOWS\system32\winlib .dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
     DeleteFile('C:\WINDOWS\system32\58e1.dll');
     BC_DeleteFile('C:\WINDOWS\system32\58e1.dll');     
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи....
    Последний раз редактировалось V_Bond; 09.10.2007 в 18:02. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    40
    восстановление отключил, строчку пофиксил, а вот файлик не нашелся... ни так, ни через AVZ...

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ждем новые логи ...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Поищи файлик в AVZ по маске winlib?.dll
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    40
    вот новые логи...
    кстати можно включить восстановление теперь?
    Последний раз редактировалось Antonnio; 21.01.2008 в 18:58.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    вы скрипт из поста 10 не выполняли ?

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Поищи файлик в AVZ по реестру по маске winlib?.dll .
    Надо все-таки разобраться с этой dll.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    09.03.2007
    Сообщений
    103
    Вес репутации
    40
    Цитата Сообщение от V_Bond Посмотреть сообщение
    вы скрипт из поста 10 не выполняли ?
    упс, не увидел... выполню, завтра доложу о результатах...

  • Уважаемый(ая) Antonnio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. китайский сайт
      От FERRERO в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.12.2009, 17:56
    2. Китайский вирус
      От Qipe в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 15.12.2009, 18:38
    3. Китайский вирус
      От Krat0S в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 21.11.2009, 17:22
    4. Загадочный китайский вирус или QQey6H.exe
      От Gordon_Shumway в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 07.05.2009, 15:15
    5. 1026 и 1027 - китайский Ip-спам или вирус?
      От Ghost_2003 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.01.2006, 10:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00085 seconds with 16 queries