Показано с 1 по 20 из 20.

тело не найдено (заявка № 13249)

  1. #1
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38

    Exclamation тело не найдено

    я уверен что в этой машине есть вирус. только вот тело найти не могу
    на файерволе видно как что-то стучится на урл (.......не знаю уместно ли тут урлы писать на которые вирус стучится?) и аутпост тоже показывает. пробовал отследить через portexplorer но увидел странную вещь (как собссно и в аутпосте) : на урлы лезут .....все сетевые приложения (аська , скайп , и т.п.) .
    логи прилагаются.
    Вложения Вложения
    Последний раз редактировалось Shu_b; 16.10.2007 в 15:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    virusinfo_syscure.zip нужен, а карантин надо удалять.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38
    извините попутал. сейчас исправлю.

    Добавлено через 49 минут

    может я что-то неправильно делаю, но я делаю всё согласно правилам , а у меня получается файл virusinfo_cure.zip .я уже три раза выполнял скрипт №3 .подскажите плз в чем моя ошибка?
    Последний раз редактировалось intrepid; 16.10.2007 в 12:02. Причина: Добавлено

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Это радует, что делаете по Правилам.

    Нужно делать доп. лог http://virusinfo.info/showthread.php?t=10387 в защищ. режиме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38
    Цитата Сообщение от PavelA Посмотреть сообщение
    Это радует, что делаете по Правилам.

    Нужно делать доп. лог http://virusinfo.info/showthread.php?t=10387 в защищ. режиме.
    готово. лог выложен.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    И где он? Не вижу.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38
    дык это... через аплоад залил. файл называется avz_sysinfo.zip

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR','');
     QuarantineFile('C:\windows\Installer\{199B7F78-69B7-47C5-8D4B-A3ED1391FB6B}\NewShortcut1_8C7A59A89ABE459A9A9308C281A4A264.exe','');
     QuarantineFile('C:\windows\system32\msindeo.dll','');
     DeleteFile('C:\windows\system32\msindeo.dll');
     BC_DeleteFile('C:\windows\system32\msindeo.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки.
    Прислать карантин согласно приложения 3 правил.

    Попытаться сделать станд. скрипт №3.

    Лог в Приложении.
    Вложения Вложения
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38
    скрипт выполнился только в безопасном режиме. в обычном режиме выползала ошибка failed to set data for "DisplayName" .
    скрипт №3 выполнил , архив получился тем не менее virusinfo_cure.zip
    прилагаю.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Лог так и не создался после №3?

    Файла карантина пока не увидел.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38
    Цитата Сообщение от PavelA Посмотреть сообщение
    Лог так и не создался после №3?

    Файла карантина пока не увидел.
    нет , не создался файл карантина называется 2007-10-16.zip выложен через аплоад, через ссылку вверху. еще раз выложить?

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Ответ от сервера пришел, что файл закачан?
    Повтори загрузку, не вижу я его.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38
    Результат загрузки

    Файл сохранён как071016_081859_virusinfo_cure_4714ba432e29a.zipР азмер файла212638MD5edb1250a2757bc91ce5e57cae573c25dФайл закачан, спасибо!

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Файлы в карантине чистые, кроме 'C:\windows\system32\msindeo.dll' - Trojan-Spy.Win32.Agent.rb (Ikarus) Касперский его не знает.
    Интересно, что на файле есть копирайт Майкрософт.

    Обнаружился еще один: C:\WINDOWS\mprx.exe, м.б. с компанией.

    Добавлено через 7 минут

    http://vil.nai.com/vil/content/v_120505.htm - описание. Не могу скопировать имена файлов с той страницы.
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\mprx.exe','');
    QuarantineFile('C:\WINDOWS\mhx32.dll','');
    QuarantineFile('C:\WINDOWS\mhd32.dll','');
    QuarantineFile('C:\WINDOWS\send.on','');
    QuarantineFile('C:\WINDOWS\system.exe','');
    DeleteFile('C:\WINDOWS\mprx.exe');
    DeleteFile('C:\WINDOWS\mhx32.dll');
    deleteFile('C:\WINDOWS\mhd32.dll');
    DeleteFile('C:\WINDOWS\send.on');
    DeleteFile('C:\WINDOWS\system.exe');
    BC_DeleteFile('C:\WINDOWS\mprx.exe');
    BC_DeleteFile('C:\WINDOWS\mhx32.dll');
    BC_deleteFile('C:\WINDOWS\mhd32.dll');
    BC_DeleteFile('C:\WINDOWS\send.on');
    BC_DeleteFile('C:\WINDOWS\system.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось PavelA; 16.10.2007 в 16:44. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38
    скрипт выполнил . тока в безопасном режиме. в обычном опять выдал сообщение failed to set data for "DisplayName" .
    карантин прислать?

  17. #16

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    msindeo.dll - Trojan-Spy.Win32.Goldun.se по Касперскому.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    12.10.2007
    Адрес
    москва
    Сообщений
    21
    Вес репутации
    38
    Цитата Сообщение от drongo Посмотреть сообщение
    Да
    Файл закачан, спасибо!

    Добавлено через 6 минут

    Цитата Сообщение от PavelA Посмотреть сообщение
    msindeo.dll - Trojan-Spy.Win32.Goldun.se по Касперскому.
    я его не нашел (
    Последний раз редактировалось intrepid; 17.10.2007 в 10:02. Причина: Добавлено

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от intrepid Посмотреть сообщение
    [/B]
    я его не нашел (
    Я его скриптом убил Он ворует пароли, надо менять.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 29
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\msindeo.dll - Trojan-Spy.Win32.Goldun.se (DrWEB: Trojan.PWS.GoldSpy)


  • Уважаемый(ая) intrepid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. найдено вредоносное ПО (заявка №103313)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 27.07.2011, 20:00
    2. найдено вредоносное ПО (заявка №72294)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 22.05.2011, 14:00
    3. Найдено огромное кол-во вирусов
      От zarazhen в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.07.2010, 16:45
    4. Исключение брошено и не найдено
      От barracuda91 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.04.2010, 05:44
    5. Найдено новое оборудование
      От gerro в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.01.2010, 06:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01295 seconds with 17 queries