Показано с 1 по 17 из 17.

Непонятные файлы (заявка № 19545)

  1. #1
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59

    Thumbs up Непонятные файлы

    Здравствуйте, есть файлы исследования системы - avz, нужна любая информация о болезнях данной системы.
    До компьютера добраться не могу, пользователь ничего сам больше сделать не может ...
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    АВЗ запускалась без прав администратора? По тому что дали:

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\temp\wincpkwg.exe');
     TerminateProcessByName('c:\temp\windyti.exe');
     TerminateProcessByName('c:\temp\winfiqerj.exe');
     TerminateProcessByName('c:\temp\winrybj.exe');
     TerminateProcessByName('c:\temp\winldklo.exe');
     TerminateProcessByName('c:\temp\winvhch.exe');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\setup.bat','');
     QuarantineFile('C:\WINDOWS\system32\drivers\hhkllj.sys','');
     QuarantineFile('C:\WINDOWS\system32\win507a.dll','');
     QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
     QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
     QuarantineFile('c:\temp\winvhch.exe','');
     QuarantineFile('c:\temp\winrybj.exe','');
     QuarantineFile('c:\temp\winldklo.exe','');
     QuarantineFile('c:\temp\winfiqerj.exe','');
     QuarantineFile('c:\temp\windyti.exe','');
     QuarantineFile('c:\temp\wincpkwg.exe','');
     DeleteFile('c:\temp\wincpkwg.exe');
     DeleteFile('c:\temp\windyti.exe');
     DeleteFile('c:\temp\winfiqerj.exe');
     DeleteFile('c:\temp\winldklo.exe');
     DeleteFile('c:\temp\winrybj.exe');
     DeleteFile('c:\temp\winvhch.exe');
     DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
     DeleteFile('C:\WINDOWS\system32\win507a.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\hhkllj.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19545

    Добавлено через 50 секунд

    Большущая доля вероятности, что C:\WINDOWS\system32\wmdrtc32.dll - Email-Worm.Win32.Warezov.et
    Последний раз редактировалось wise-wistful; 11.03.2008 в 13:59. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59
    Файл загрузил.

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Давайте логи новые.
    Большинство подозреваемых известно c:\temp\windyti.exe - Virus.Win32.Sality.s, c:\temp\wincpkwg.exe - Trojan-Downloader.Win32.Small.hyi, c:\temp\winfiqerj.exe - Trojan-Downloader.Win32.Agent.iyq, c:\temp\winrybj.exe - Trojan-Downloader.Win32.Agent.jgt, c:\temp\winvhch.exe - Trojan.Win32.VB.bkr, C:\WINDOWS\system32\win507a.dll - Trojan-Proxy.Win32.Agent.xz , C:\WINDOWS\system32\wmdrtc32.dll - Virus.Win32.Sality.s По некоторым подождём ответа вирлаба.

  6. #5
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59
    Поиск по именам файлов ничего не дал, доступа к компу у меня нет...
    Служба нода, на том компе, в дауне...
    Какие ещё логи нужны?

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    А кого Вы искали по именам? Список файлов я привёл для знания, кто проживал, всех их удаляли при помощи скрипта.
    Логи нужно сделать заново. Если получится - то оба в АВЗ и в Хиджаке третий лог, тогда картина немного понятней.

  8. #7
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59
    Искал эти из c:\temp...

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    все файлы из c:\temp я удалял скриптом. Давайте новые логи, пожалуйста.

  10. #9
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59
    Компьютер не мой, как только хозяин появится, будут логи. Извините.
    То что файлы удалены скриптом и скопированы в карантин я понял из скрипта.
    А искал информацию интернете, по названиям этих файлов, ёще до обращения сюда.

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Новенькое было только winldklo.exe - SpamTool.Win32.Agent.gb. Богатый однако урожай кто-то собрал

  12. #11
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59
    Такое ощущение, что их просто вывалили кучей в одно место...

  13. #12
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59
    virusinfo_syscure.zip
    Вложения Вложения

  14. #13
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\hhkllj.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Обновите базы АВЗ, а то базы от 12 декабря - сегодня не очень актуальны. А что другие логи не получаются?
    Сделайте новые логи, только желательно все 3 для полноты картины.

    Спасибо за понимание.

  15. #14
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59
    Странно, скачивать давал ссылку...
    http://z-oleg.com/avz4.zip

  16. #15
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Да Вы скачиваете новую версию АВЗ, но потом в файл--обновление баз, нужно обновить базы, а то они от 12.12.2007 по умолчанию.

  17. #16
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    26
    Вес репутации
    59
    спасибо, за помощь, объект исследования переставил ось, тему можно закрыть, материалов для исследования с той машины больше не достать...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\temp\\wincpkwg.exe - Trojan-Downloader.Win32.Small.hyi (DrWEB: Trojan.DownLoader.45364)
      2. c:\\temp\\windyti.exe - P2P-Worm.Win32.Bacteraloh.h (DrWEB: Win32.Sector.28682)
      3. c:\\temp\\winfiqerj.exe - Trojan-Downloader.Win32.Agent.iyq (DrWEB: Trojan.Spambot.3004)
      4. c:\\temp\\winldklo.exe - Trojan-Mailfinder.Win32.Agent.gb
      5. c:\\temp\\winrybj.exe - Trojan-Downloader.Win32.Agent.jgt (DrWEB: Trojan.DownLoader.38520)
      6. c:\\temp\\winvhch.exe - Trojan.Win32.VB.bkr (DrWEB: Trojan.Captcha)
      7. c:\\windows\\system32\\win507a.dll - Trojan-Proxy.Win32.Agent.xz (DrWEB: Trojan.Proxy.279
      8. c:\\windows\\system32\\wmdrtc32.dll - Virus.Win32.Sality.s (DrWEB: Win32.Sector.28682)


  • Уважаемый(ая) sthprog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. В автозагрузке непонятные файлы
      От tigr62 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.01.2012, 20:44
    2. создаются непонятные файлы
      От 2Гарин ЗМЕЙ в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 25.01.2011, 17:47
    3. Непонятные ехе файлы в автозагрузке
      От hunt3r в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2010, 19:15
    4. непонятные DLL файлы
      От vladant в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.12.2009, 20:06
    5. Непонятные файлы .dll
      От Brodjaga в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 15.01.2007, 01:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00298 seconds with 18 queries