Показано с 1 по 7 из 7.

Вылетает shell, IP в блэке [Trojan.Win32.Agentb.bkbd ] (заявка № 171041)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2011
    Сообщений
    38
    Вес репутации
    25

    Thumbs up Вылетает shell, IP в блэке [Trojan.Win32.Agentb.bkbd ]

    Здравствуйте!

    При загрузке ОС (Win XP SP3) постоянно вылетает с ошибкой доступа к памяти shell (aston2). После этого долго грузится explorer (панель задач в течении нескольких минут недоступна).

    Проверка свежим Kaspersky Rescue Disk пару недель назад результатов не дала. Пришел к выводу, что это системный глюк (ОСь стоит много лет, не раз восстанавливалась после серьезных сбоев), и решил в ближайшее время переустановить систему.

    Недавно обнаружил, что мой IP попал в блэк-листы, решил на всякий случай всё-таки провериться на заразу. Буду благодарен за помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Rampager, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,232
    Вес репутации
    849
    То же самое, от чего в августе у нас лечились.

    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\DAOao\oletf16.ng', '');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\DAOao\oletf16.ng', '32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    24.04.2011
    Сообщений
    38
    Вес репутации
    25
    Vvvyg, здравствуйте!

    Большое спасибо! Лечение помогло, вылеты прекратились. Надо же, а я был почти уверен, что это просто глючит система.

    То же самое, от чего в августе у нас лечились.
    Вы имели в виду тот же самый вирус или что нужно выполнить те же самые действия? Если зараза та же, то какой мог бы быть источник заражения? Яву я полностью деинсталлировал, работаю хоть и из-под админской учетки, но она защищена паролем, а браузеры и прочие приложения из группы риска запускаются с пониженными привелегиями. Автозапуск отключен, как и ненужные службы. Домашняя машина спрятана от внешней сети за NAT'ом.

    Можно ли так же узнать, какой "породы" был зловред? Спам/DDOS/прокси-бот или шпиён, сливающий личные данные?

    Ещё раз спасибо!

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Код:
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
    Цитата Сообщение от Rampager Посмотреть сообщение
    какой мог бы быть источник заражения?
    Рискну предположить, что дело могло быть в сетевом окружении. Я когда-то настраивал гостевой доступ к расшаренным ресурсам, скорее всего, он так и остался. А в домашней сети могут быть источники заразы.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,232
    Вес репутации
    849
    Цитата Сообщение от Rampager Посмотреть сообщение
    Вы имели в виду тот же самый вирус или что нужно выполнить те же самые действия?
    Из того же семейства Corkow, лечение в каждом случае индивидуальное.

    Цитата Сообщение от Rampager Посмотреть сообщение
    Если зараза та же, то какой мог бы быть источник заражения? Яву я полностью деинсталлировал, работаю хоть и из-под админской учетки, но она защищена паролем, а браузеры и прочие приложения из группы риска запускаются с пониженными привелегиями.
    Сложно сказать, троян развивается и изменяется, скорее всего, что-то скачали и запустили, или просто ткнули на нехорошую ссылку. Для его установки нужны администраторские права, а уж как они были получены - просто запустили установщик, или какой-то вариант уязвимости с повышением привилегий был использован - кто его знает.

    Цитата Сообщение от Rampager Посмотреть сообщение
    Можно ли так же узнать, какой "породы" был зловред? Спам/DDOS/прокси-бот или шпиён, сливающий личные данные?
    Троян, ориентированный на работу с онлайн-банкингом. Для верности лучше сменить пароли и на почту/соцсети, т. к. круг его интересов может быть расширен по команде из управляющего центра.

    XP, поддержка которой была завершена ещё весной, уже не может считаться безопасной системой, даже если установлены все обновления безопасности.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    24.04.2011
    Сообщений
    38
    Вес репутации
    25
    Ясно, большое спасибо!

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Rampager, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ошибка shell.exe
      От Vlan в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.11.2010, 13:53
    2. shell\open\default=1
      От AndreyM в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 22.09.2010, 17:34
    3. LSA Shell (lsass.exe) - ошибка и перезагрузка
      От Nightfish в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 19.06.2010, 09:34
    4. постоянно вылазит shell.fne
      От Oizo в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.07.2009, 18:22
    5. Нестандартный ключ Winlogon\Shell
      От vanek в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 01:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01020 seconds with 17 queries