Здравствуйте, есть файлы исследования системы - avz, нужна любая информация о болезнях данной системы.
До компьютера добраться не могу, пользователь ничего сам больше сделать не может ...
Спасибо.
Здравствуйте, есть файлы исследования системы - avz, нужна любая информация о болезнях данной системы.
До компьютера добраться не могу, пользователь ничего сам больше сделать не может ...
Спасибо.
АВЗ запускалась без прав администратора? По тому что дали:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\temp\wincpkwg.exe'); TerminateProcessByName('c:\temp\windyti.exe'); TerminateProcessByName('c:\temp\winfiqerj.exe'); TerminateProcessByName('c:\temp\winrybj.exe'); TerminateProcessByName('c:\temp\winldklo.exe'); TerminateProcessByName('c:\temp\winvhch.exe'); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\setup.bat',''); QuarantineFile('C:\WINDOWS\system32\drivers\hhkllj.sys',''); QuarantineFile('C:\WINDOWS\system32\win507a.dll',''); QuarantineFile('C:\WINDOWS\system32\muangsys.dll',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); QuarantineFile('c:\temp\winvhch.exe',''); QuarantineFile('c:\temp\winrybj.exe',''); QuarantineFile('c:\temp\winldklo.exe',''); QuarantineFile('c:\temp\winfiqerj.exe',''); QuarantineFile('c:\temp\windyti.exe',''); QuarantineFile('c:\temp\wincpkwg.exe',''); DeleteFile('c:\temp\wincpkwg.exe'); DeleteFile('c:\temp\windyti.exe'); DeleteFile('c:\temp\winfiqerj.exe'); DeleteFile('c:\temp\winldklo.exe'); DeleteFile('c:\temp\winrybj.exe'); DeleteFile('c:\temp\winvhch.exe'); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\WINDOWS\system32\win507a.dll'); DeleteFile('C:\WINDOWS\system32\drivers\hhkllj.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19545
Добавлено через 50 секунд
Большущая доля вероятности, что C:\WINDOWS\system32\wmdrtc32.dll - Email-Worm.Win32.Warezov.et
Последний раз редактировалось wise-wistful; 11.03.2008 в 13:59. Причина: Добавлено
Файл загрузил.
Давайте логи новые.
Большинство подозреваемых известно c:\temp\windyti.exe - Virus.Win32.Sality.s, c:\temp\wincpkwg.exe - Trojan-Downloader.Win32.Small.hyi, c:\temp\winfiqerj.exe - Trojan-Downloader.Win32.Agent.iyq, c:\temp\winrybj.exe - Trojan-Downloader.Win32.Agent.jgt, c:\temp\winvhch.exe - Trojan.Win32.VB.bkr, C:\WINDOWS\system32\win507a.dll - Trojan-Proxy.Win32.Agent.xz , C:\WINDOWS\system32\wmdrtc32.dll - Virus.Win32.Sality.s По некоторым подождём ответа вирлаба.
Поиск по именам файлов ничего не дал, доступа к компу у меня нет...
Служба нода, на том компе, в дауне...
Какие ещё логи нужны?
А кого Вы искали по именам? Список файлов я привёл для знания, кто проживал, всех их удаляли при помощи скрипта.
Логи нужно сделать заново. Если получится - то оба в АВЗ и в Хиджаке третий лог, тогда картина немного понятней.
Искал эти из c:\temp...
все файлы из c:\temp я удалял скриптом. Давайте новые логи, пожалуйста.
Компьютер не мой, как только хозяин появится, будут логи. Извините.
То что файлы удалены скриптом и скопированы в карантин я понял из скрипта.
А искал информацию интернете, по названиям этих файлов, ёще до обращения сюда.
Новенькое было только winldklo.exe - SpamTool.Win32.Agent.gb. Богатый однако урожай кто-то собрал
Такое ощущение, что их просто вывалили кучей в одно место...
virusinfo_syscure.zip
Выполните в АВЗ
Обновите базы АВЗ, а то базы от 12 декабря - сегодня не очень актуальны. А что другие логи не получаются?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\hhkllj.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи, только желательно все 3 для полноты картины.
Спасибо за понимание.
Странно, скачивать давал ссылку...
http://z-oleg.com/avz4.zip
Да Вы скачиваете новую версию АВЗ, но потом в файл--обновление баз, нужно обновить базы, а то они от 12.12.2007 по умолчанию.
спасибо, за помощь, объект исследования переставил ось, тему можно закрыть, материалов для исследования с той машины больше не достать...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\\temp\\wincpkwg.exe - Trojan-Downloader.Win32.Small.hyi (DrWEB: Trojan.DownLoader.45364)
- c:\\temp\\windyti.exe - P2P-Worm.Win32.Bacteraloh.h (DrWEB: Win32.Sector.28682)
- c:\\temp\\winfiqerj.exe - Trojan-Downloader.Win32.Agent.iyq (DrWEB: Trojan.Spambot.3004)
- c:\\temp\\winldklo.exe - Trojan-Mailfinder.Win32.Agent.gb
- c:\\temp\\winrybj.exe - Trojan-Downloader.Win32.Agent.jgt (DrWEB: Trojan.DownLoader.38520)
- c:\\temp\\winvhch.exe - Trojan.Win32.VB.bkr (DrWEB: Trojan.Captcha)
- c:\\windows\\system32\\win507a.dll - Trojan-Proxy.Win32.Agent.xz (DrWEB: Trojan.Proxy.279
- c:\\windows\\system32\\wmdrtc32.dll - Virus.Win32.Sality.s (DrWEB: Win32.Sector.28682)
Уважаемый(ая) sthprog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.