Показано с 1 по 20 из 20.

вирус спам-бот? (заявка № 24156)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46

    Question вирус спам-бот?

    1. отключился антивирус symantec
    2. стали возникатть ошибки различных сервисов, со ссылками на на необнаруженный жесткий диск.
    3. в диспетчере задач 2 файла начинающиеся на win****
    4. блокируются сайты антивирусных компаний, блокируются AVZ (закрывается, при переименовании зараболтал), cureit (вылетает explorer, на win2003 вылетает в BSOD)
    5. на чистом компьютере был проверен жесткий диск антивирусом касперского, найден neur.worm.generiс (файл winampUA в папке winamp)
    6. при загрузке с live-cd и запуском через него cureit выдал эти 2 файла как trojan.proxy.3230)
    лечение не прошло компьютер так же заражен..

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    логи
    Последний раз редактировалось Maximus_1982; 20.06.2008 в 16:14.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Антивирус надо отключить.
    Перечитать Правила. Вам необходимо отключить "Восст. системы"
    Затем выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\R1vfEunv.exe','');
     QuarantineFile('C:\WINDOWS\system32\fP8EX73e.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\jqjngn.sys','');
     TerminateProcessByName('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe');
     QuarantineFile('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe','');
     TerminateProcessByName('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe');
     QuarantineFile('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe','');
     DeleteFile('c:\docume~1\ЮЗЕР\locals~1\temp\wincwxc.exe');
     DeleteFile('c:\docume~1\ЮЗЕР\locals~1\temp\winkxrbse.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Карантин прислать. Сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46

    сервер

    логи сервера
    Последний раз редактировалось Maximus_1982; 20.06.2008 в 16:14.

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    карантин на компьютере пустой.. выслал карантин сервера.. вирус после скрипта на компьютере так же есть

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    логи компа.. и карантин
    Последний раз редактировалось Maximus_1982; 20.06.2008 в 16:14.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Сделаем вот так:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\jqjngn.sys','');
     SetServiceStart('aic32p', 4);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Непонятных процессов теперь не видно.
    У Вас еще Бонжур был удален как-то неправильно, надо будет его дочистить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    выполнил.. без изменений практически..
    в диспетчере процессов в AVZ виден wmiprvse.exe, однако теперь dll он не использует..

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709E A-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe

    HKEY_CLASSES_ROOT\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32\ = C:\WINDOWS\system32\wbem\wmiprvse.exe

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Давай карантин после посл. скрипта. Файлики надо проверить.

    Сам процесс твой вполне легитимный.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    HKEY_CURRENT_USER\Software\имя914

    в реестре такая вот запись и там многоооо чего.. похоже на win32.sality?

    Добавлено через 1 минуту

    прикрепить логи не дает - зависает, перезагружаюсь - детекируются те же файлы.. еще в безопаснике не грузится..
    Последний раз редактировалось Maximus_1982; 07.06.2008 в 11:35. Причина: Добавлено

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Сделай полную проверку Куреитом, записав его на чистой машине на болванку.
    Тогда подозрения насчет Салити м.б. отметуться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    согласно рекомендациям symantec по удалению w32.Sality.ae

    вот такое вот есть..
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List
    записи типа
    C:\DOCUME~1\ЮЗЕР\LOCALS~1\Temp\winteow.exe:Enabled:ipsec
    с прочие процессы винды

    cureit нашел в памяти trojan.proxy.3230 и Возможно BACKDOOR.trojan (сначала в памяти, затем при сканировании дисков)

    Добавлено через 51 минуту

    в папке temp файлы появляются только при работе в интернете.. без сети чисто.. но ошибки случайного процесса выдаются все равно ..

    Добавлено через 2 часа 22 минуты

    вобщем похоже всему виной установленный на сервере sp2 и еще около 35-40 апдейтов.. после этого все и началось.. прогоняю куреит на серваке.. однако долго..
    Последний раз редактировалось Maximus_1982; 07.06.2008 в 16:59. Причина: Добавлено

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    принес флешку с записанными на ней avz, cureit и hijackthis.. drweb выдал модификация win32.sector.5..

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Куда принес? На сервер или с сервера?
    Лучше бы ты две темы завел на разные машины.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Maximus_1982 Посмотреть сообщение
    drweb выдал модификация win32.sector.5..
    Мда... Модификация - это плохо. Образцы:
    1. пришлите по правилам
    2. отправьте в вирлаб Доктора: http://support.drweb.com/sendnew/
    Обязательно укажите, что дикорастущие

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    принес с сервера домой.. вобщем дрвеб лечит.. теперь возникла проблема.. как восстановить записи реестра чтобы компьютер загрузить в безопасном режиме т сделать полную проверку..

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Вот так

    Код:
    begin
    ExecuteRepair(10 );  
    RebootWindows(true);
    end.

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    восстановить вход в безопасник не удается.. в простом режиме вроде бы вылечил, перегрузился установил дрвеб.. перегрузился.. дрвеб стал кричать все время на вирус.. сеть в конторе встала.. выключил всех от сети чтобы не расползлось.. заражение порядка 60 машин процентов 50-70.. ..

    выход грузиться с лайв-сд и из под него чистить???

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Да, LiveCD - это лучше. По крайней мере, активный зверь в памяти отсутствует, поэтому не размножается.

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    19.12.2007
    Адрес
    Уфа
    Сообщений
    100
    Вес репутации
    46
    загрузился с лайв_сд.. написано все вылечено.. поставил дрвеб без сети с диска.. опять заражение.. дрвеб теперь сам себя умудряется "вылечить".. все признаки заражения.. в ходе проверок компов найдуны bulknet и click.. как вирус проникает на компы??? может какой порт заблочить..

  • Уважаемый(ая) Maximus_1982, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Спам вирус.
      От r0gue в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.11.2008, 21:36
    2. Вирус спам?
      От Jinn в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.04.2008, 12:35
    3. Вирус шлет спам.
      От glit в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 23.07.2007, 16:35
    4. Странный спам или вирус
      От melani в разделе Антиспам
      Ответов: 9
      Последнее сообщение: 27.03.2007, 23:36
    5. Спам вирус
      От Muzzolini в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.01.2007, 06:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01414 seconds with 16 queries