маил вара поймал
Собственно сабж. Архив с вирусом сейчас прикреплю.
Еще такой вопрос:
Фаирвол около месяца не регистрирует никаких атак, нетбиос запросов и вообще не видит никакой сетевой активности кроме своих программ, работающих через интернет (браузер, обновления и тд.). Это нормально? Пробовал ставить другую версию этого же фаирвола (Outpost), ставил другие фаирволы, везде тоже самое.
Прикрепил вирусный архив.
Последний раз редактировалось denison; 19.08.2008 в 02:49.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys',''); QuarantineFile('C:\Documents and Settings\ь.ъъъ.ь\Application Data\Mozilla\Firefox\Profiles\r85w5c7d.default\extensions\firebit@firebit\components\firebit.dll',''); DeleteFile('C:\Documents and Settings\ь.ъъъ.ь\Application Data\Mozilla\Firefox\Profiles\r85w5c7d.default\extensions\firebit@firebit\components\firebit.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24556 ).
Вот это Вам знакомо?
Если незнакомо, то пофиксите эти строчки в в HijackThis.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45 O17 - HKLM\System\CS1\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45 O17 - HKLM\System\CS2\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45 O17 - HKLM\System\CS3\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
c:\windows\system32\nwprovau.dll- Пришли по второму пункту правил копию, и не надо к теме ничего кроме логов прикреплять.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Готово.Сообщение от kps
10.0.0.45 - DNS сервер мой. Фиксить?Вот это Вам знакомо?
Если незнакомо, то пофиксите эти строчки в в HijackThis.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45 O17 - HKLM\System\CS1\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45 O17 - HKLM\System\CS2\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45 O17 - HKLM\System\CS3\Services\Tcpip\..\{8057BCAC-FDFC-4282-80BC-10B8EDAC9513}: NameServer = 10.0.0.45
Последний раз редактировалось denison; 19.08.2008 в 02:49.
Добавил, но в карантине ничего не прибавилось, возможно он там уже есть.
firebit.dll - > not-a-virus:AdWare.Win32.Kitsune.b
больше фаербит не ставьте, это гадость.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Загрузчик для letitbit.net? Давно знаю об этом, не ставил. Чудеса просто какие то.
Все?
по прежнему находит.Код:spdj.sys afw.sys SandBox.sys
Логи выложу через 3 минуты, предыдущие не дают загрузить, удалю их.
Вот остальное, "virusinfo_syscure" не могу выложить, ругается даже если переименовать, говорит что уже есть такой архив в теме.
Hу так, а как же?Мы же их не удаляли.
Не всё что находит avz нужно удалять, об этом ясно написано. Что удалять решает хелпер
это от ваших программ защиты(afw.sys ,
SandBox.sys -оутпост) и эмулятора дисков.( spdj.sys & co)
На вашем месте я бы прошёлся куритом, поставил ограниченного пользователя и конечно не забывать что есть noscript
Больше ничего интересного не видно.
Последний раз редактировалось drongo; 13.06.2008 в 21:54.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Так админскую учетку все равно взломать могут и параллельно с моей ограниченной сессией дел натворить, так я хоть вижу что у меня происходит (1 учетка админская, остальное выключено).]На вашем месте я бы поставил ограниченного пользователя
ваши логи говорят об обратном
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\ь.ъъъ.ь\\application data\\mozilla\\firefox\\profiles\\r85w5c7d.default \\extensions\\firebit@firebit\\components\\firebit .dll - not-a-virus:AdWare.Win32.Kitsune.b (DrWEB: Trojan.BitAcc.4)
Уважаемый(ая) denison, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
