Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

RavMon.exe amvo.exe и другие (заявка № 17720)

  1. #1
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59

    Thumbs up RavMon.exe amvo.exe и другие

    здравствуйте!
    обратил внимание в диспетчере на процесс RavMon.exe.
    раньше которого не было. Поиск источника процесса ничего не показал. Поискал другой процесс - тут же был найден искомый файл. Странно показалось. Полез в Поиск в инете, который конечно же выдал диагноз, подтверждение которому нашёл и у себя с некоторыми новшествами, которых не было вроде ни у кого.
    симтомы болезни:
    1. спрятались системные и скрытые файлы и папки, установка галочки в Свойствах папки конечно не помогала.
    2. Диск С открывался в новом окне.
    3. Не работает правокнопочное меню - WinRar - "Извлечь/Извлечь в текущую папку/Извлечь в (имя)". такого эффекта пока вроде не встречал. Сама программа запускается и драг*н*дропом даёт извлечь файл.

    других каких-то специфических признаков искать не стал, так как инет анлимитед и обратить внимание на трафик трудно. Косвенно никаких признаков левого трафика не было, загрузка процессора стабильна, активности винта нет, единственное что показалось что в последнее время часто и длительно работает вентилятор охлаждения, чего ранее за ним не наблюдалось (ноутбук брендовый и работает тихо). грешил на eMul, так как качалось много фильмов и музыки и в диспетчере было видно что осёл работает хорошо.

    CureIt проверил, нашёл, вроде убил несколько гадостей, но судя по логу ХайДжека - amvo.exe остался.
    процедуры выполнил согласно правилам. Как добить заразу?

    из подозрительных процессов
    CnxDslTb.exe
    dllhost со странным именем пользователя (остановил процесс вручную)
    svchost - 6 штук (?) - их всегда так много?
    S24EvMon
    и ещё ряд процессов которые были и ранне вроде но сейчас вызывают подозрение
    Вложения Вложения
    Последний раз редактировалось Dimmonix; 08.02.2008 в 02:43.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните скрипт в АВЗ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\DDosaev\Главное меню\Программы\Автозагрузка\RavMonE.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\Documents and Settings\DDosaev\Главное меню\Программы\Автозагрузка\RavMonE.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрита компьютер перезагрузится. Занрузите карантин согласно приложению 3 правил по сылке http://virusinfo.info/upload_virus.php?tid=17720
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    Файл сохранён как 080207_180344_virus_47ab9c60a54e3.zip
    Размер файла 1824177
    MD5 194f539792febbf5bba0e89dfe96590c

    сорри, пароль не задан, винрар кажется сломался

    логи

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Так а логи то где?

  6. #5
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    AVZ первый лог минут 35 делает((((
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\DOCUME~1\DDosaev\LOCALS~1\Temp\adxapie.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O20 - AppInit_DLLs: msafd.dll,
    Загрузите карантин согласно приложению №3 правил.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

  8. #7
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    Скрипт выполнил.
    С Хайджеком возникли проблемы

    "An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: msafd.dll,)
    Error #5 - Invalid procedure call or argument

    Please email me at [email protected], reporting the following:
    * What you were trying to fix when the error occurred, if applicable
    * How you can reproduce the error
    * A complete HijackThis scan log, if possible

    Windows version: Windows NT 5.01.2600
    MSIE version: 6.0.2900.2180
    HijackThis version: 1.99.1

    This message has been copied to your clipboard.
    Click OK to continue the rest of the scan."

    AVZ нашёл системные проблемы
    "Нарушение ассоциации SCR файлов."
    Фиксация сделана.

    С браузером - сделано.

    Файл сохранён как 080208_001502_virus-2_47abf366053b2.zip
    Размер файла 622
    MD5 5ec74239cb0cdaf7a64390cb2b0ac48c

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    присланный карантин пустой ....
    попробуйте поискать файл через авз - сервис - поиск файлов на диске ....

  10. #9
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    по логам Хайджека - О20 отсутсвует. пофиксен?

    в карантине было всего две строки, архив AVZ создаётся и на диске появляется, НО - сделать архив вручную невозможно. ВинРар через контекстное меню не запускается.
    Это что за прикол - от системы или вирусом сломан ВинРар?

    в карантине AVZ находит два файла с нулевым размером (?) поэтому и архив нулевой получается. прикладываю скрин
    Вложения Вложения
    Последний раз редактировалось Dimmonix; 08.02.2008 в 09:51.

  11. #10
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    скрин.

    в карантине эти файлы идут уже с расширением *ini

    > попробуйте поискать файл через авз - сервис - поиск файлов на диске ....

    архивный файл карантина? всё тоже самое
    Файл сохранён как 080208_005856_virus_47abfdb0b84c0.zip
    Размер файла 622
    MD5 24c29ff0b5cf2d01c61d548d1f01e3e7
    Изображения Изображения
    Последний раз редактировалось Dimmonix; 08.02.2008 в 09:59.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Пришлите вручную
    Microsoft Most Valuable Professional in Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    сами файлы? ребята, уточните пожалуйста какие именно файлы нужно искать и прислать
    - *ini - что сейчас лежат в карантине?
    - *dat - что пишет в своём окне AVZ
    -или adxapie.sys что лежат в Temp?

    "Поиск файлов по маске adxapie.sys
    Поиск файлов завершен
    Просмотрено 73863, найдено 0"

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Конечно файл лежащий в папке Temp.......зачем нам файл 0 длины?
    Microsoft Most Valuable Professional in Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    AVZ ничего не находит в папке Тemp
    поиск по маске по всему диску выдал 700 файлов в перечне которых adxapie.sys отсутсвует.

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Посмотрите присуствует этот файл, физически на диске в папке Temp
    Microsoft Most Valuable Professional in Consumer Security

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('adxapie', 4);
     DeleteService('adxapie');
     DeleteFile('C:\DOCUME~1\DDosaev\LOCALS~1\Temp\adxapie.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ...

  18. #17
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    нет. Физически этих файлов в окне папки Temp не видно.

    ПС. Чекбокс "Показывать скрытые папки и файлы" по прежнему не работает

    пошёл на запуск крипта и сбор логов.

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Должно помочь
    Microsoft Most Valuable Professional in Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    упс....
    предпоследний скрипт прошёл.
    А последний скрипт выполнить до или после сбора логов?

  21. #20
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    20
    Вес репутации
    59
    логи до...
    Вложения Вложения

  • Уважаемый(ая) Dimmonix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. ravmon и чтото еще
      От Artur Z. в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:05
    2. amvo
      От alexsmf в разделе Помогите!
      Ответов: 40
      Последнее сообщение: 22.02.2009, 04:36
    3. Та же AMVO % (
      От PaPa в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 04:28
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 01:46
    5. Ravmon.exe и его последствия???
      От salviadivinorum в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.10.2008, 01:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00230 seconds with 20 queries