Показано с 1 по 14 из 14.

Неизвестный вирус (заявка № 16796)

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    54
    Вес репутации
    38

    Exclamation Неизвестный вирус

    1)Windows xp sp2
    2)Symantec Antivirus 10.0
    -После ввода пароля и до появления рабочего стола проходит много времени...что на мой взгляд аномально.
    -После включения компьютера через минут 5-10 начинают выскакивать сообщения от Symantec о рассылке писем по множеству адресов. И эти сообщения заполняют весь экран.

    При документировании загрузки (через F8) были обнаружены следующие необычные файлы:
    spk58.sys
    ntio922.sys
    Последний раз редактировалось sinzovmi; 10.09.2008 в 19:46.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Отключите восстановление системы!

    2. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Spk58');
     StopService('smtpdrv');
     SetServiceStart('smtpdrv', 4);
     SetServiceStart('Spk58', 4);
     QuarantineFile('C:\WINDOWS\system32\Drivers\Spk58.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Spk58.sys');
    BC_ImportALL;
    BC_DeleteSvc('Spk58');
    BC_DeleteSvc('smtpdrv');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    3. Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=16796).

    4. Обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    54
    Вес репутации
    38
    файлы с каратнином отправил. Новые логи делаю. Сейчас вышлю. Дошли??
    В автозагрузке обнаружил подозрительные файлы:
    hkcmd.exe
    igfxtray.exe
    fppdis3a.exe

    Добавлено через 1 минуту

    ОБНОВЛЕНИЕ БАЗЫ СДЕЛАТЬ НЕ МОГУ. ВЫДАЕТСЯ ОШИБКА"AVZUPD.ZIP-ФАЙЛ ПОВРЕЖДЕН"
    Последний раз редактировалось sinzovmi; 22.01.2008 в 16:53. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Попробуйте переключить Источник.
    Если все равно не пойдет, делайте логи так.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    54
    Вес репутации
    38
    Вот новые логи.
    Последний раз редактировалось sinzovmi; 10.09.2008 в 19:46.

  7. #6
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    54
    Вес репутации
    38
    И что насчет файлов в автозагрузке??
    Компьютер также после ввода имени пользователя и пароля...долго висит до появления рабочего стола.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните такой скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('F:\xn1i9x.com');
     DeleteFile('F:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Больше ничего плохого не видно, но на всякий случай пришлите по правилам файл C:\huadio.tmp.
    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Добавлено через 58 секунд

    hkcmd.exe
    igfxtray.exe
    fppdis3a.exe
    эти нормальные, не беспокойтесь

    Добавлено через 2 минуты

    Пардон, еще один хвост проглядел.
    Вот такой скриптик вдогонку:
    Код:
    begin
    BC_DeleteSvc('FCI');
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось Bratez; 22.01.2008 в 17:29. Причина: Добавлено
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    54
    Вес репутации
    38
    Спасибо. Еще такой вопрос: пользователь при сканировании антивирусом Symantec, повредил файл svchost После этого не запускаются многие службы. Вы можете помочь? Или нужно писать в другой раздел?

    Добавлено через 9 минут

    А если конкретно..то при загрузке вылезает сообщение вида: инструкция по адресу А обратилась к памяти по адресу А(вверху написано что название процесса (svchost)

    Добавлено через 36 секунд

    Может быть это еще какой то кривой вирус?
    Последний раз редактировалось sinzovmi; 22.01.2008 в 18:31. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Вполне может быть.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    54
    Вес репутации
    38
    Высылаю новые логи. Прошу прощения что так долго.
    Проблема с файлом svchost.exe , которая была описна выше.
    Последний раз редактировалось sinzovmi; 10.09.2008 в 19:46.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\huadio.tmp','');
     DeleteFile('C:\huadio.tmp');
    BC_ImportDeletedList;
    BC_DeleteSvc('autorun');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, нужно ли вам что-либо из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.

    Заплатки на Windows после SP2 регулярно устанавливаете?
    Подозреваю, что нет
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    23.07.2007
    Сообщений
    54
    Вес репутации
    38
    Все сделал, что написали. Но симптомы те же.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Эти симптомы в 95% случаев лечатся установкой соответствующих обновлений Windows. Если у вас русская (не MUI-шная) версия, скачайте и установите вот этот пакет: http://poleznosti.ru/soft/file_catal...20060821091454.
    I am not young enough to know everything...

  • Уважаемый(ая) sinzovmi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Неизвестный вирус
      От SakhalinSpirit в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.07.2012, 11:06
    2. неизвестный вирус
      От ОЛГЕРД в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.08.2009, 12:47
    3. Неизвестный вирус
      От St.Lie в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.06.2009, 19:39
    4. Неизвестный вирус
      От GorMih в разделе Помогите!
      Ответов: 38
      Последнее сообщение: 11.10.2008, 20:50
    5. Неизвестный W32 вирус
      От sem78 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 28.04.2007, 14:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01157 seconds with 16 queries