Показано с 1 по 14 из 14.

атаковал неизвестный вирус (заявка № 25468)

  1. #1
    Junior Member Репутация
    Регистрация
    02.12.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    38

    Exclamation атаковал неизвестный вирус

    Здравствуйте! опять к вам за помощью!

    при работе в интернете антивирус стал сигнализировать о вирусах в sys32, комп стал перезагружаться и не мог включиться. удалось загрузиться только в режиме последней удачной загрузки.
    логи сделаны. посмотрите пожалуйста!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    Цитата Сообщение от Kondor Посмотреть сообщение
    Здравствуйте! опять к вам за помощью!

    при работе в интернете антивирус стал сигнализировать о вирусах в sys32, комп стал перезагружаться и не мог включиться. удалось загрузиться только в режиме последней удачной загрузки.
    логи сделаны. посмотрите пожалуйста!
    -выполнить в AVZ
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q7.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe','');
     QuarantineFile('c:\nwndim.exe','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\iexplorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphc1v3j0ee5v.scr','');
     QuarantineFile('C:\WINDOWS\system32\lphc1v3j0ee5v.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\beeper.sys','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\iexplorer.exe');
    end.
    ...пришлите карантин согласно приложению 3 правил, по ссылке http://virusinfo.info/upload_virus.php?tid=25468
    -и повторите логи ещё раз
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Junior Member Репутация
    Регистрация
    02.12.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    38
    Скрипт выполнен
    комп правда не перезагрузился сам. карантин выслан, но он вроде чист
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    02.12.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    38
    при перезагрузке аваст находит но удалить не может
    Sign of "VBS:Malware-gen" has been found in "C:\Documents and Settings\kondor\Local Settings\Temp\.tt2.tmp.vbs" file.

    в свойствах экрана постоянно блокируется закладка с изменением фона рабочего стола, фон становится синим. если при помощи avz его разблокировать то видно что в качестве фона стоит какой-то файл phc1v3j0ee5v

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -значит придётся так
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_QrFile('C:\WINDOWS\System32\Drivers\Winvo66.sys');
     BC_QrFile('c:\windows\system32\lphc1v3j0ee5v.exe');
     BC_QrFile('c:\nwndim.exe');
     BC_QrFile('C:\WINDOWS\system32\blphc1v3j0ee5v.scr');
     BC_QrFile('C:\WINDOWS\iexplorer.exe');
     BC_QrFile('C:\WINDOWS\services.exe');
     BC_QrFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
     BC_QrFile('C:\WINDOWS\services.exe');
     BC_DeleteFile('c:\windows\system32\lphc1v3j0ee5v.exe');
     BC_DeleteFile('c:\nwndim.exe');
     BC_DeleteFile('C:\WINDOWS\system32\blphc1v3j0ee5v.scr');
     BC_DeleteFile('C:\WINDOWS\iexplorer.exe');
     BC_DeleteFile('C:\WINDOWS\services.exe');
     BC_DeleteFile('WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
     BC_DeleteFile('C:\WINDOWS\services.exe');
     DeleteFileMask('C:\Documents and Settings\kondor\Local Settings\Temp', '*.*', true);
     DeleteDirectory('C:\Documents and Settings\kondor\Local Settings\Temp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  7. #6
    Junior Member Репутация
    Регистрация
    02.12.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    38
    скрипт выполнен, avz вроде ничего не находит, но все равно в системе что-то еще осталось. При перезагрузке аваст сигнализирует Sign of "Win32:Agent-VGV [Wrm]" has been found in "C:\WINDOWS\System32\drivers\Winng15.sys" file.
    удаляю, при следующей перезагрузке там же другой файл не нравится авасту
    Sign of "Win32:Agent-VGV [Wrm]" has been found in "C:\WINDOWS\System32\drivers\Winib56.sys" file.

    и все ли чисто в логе hijackthis?
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    02.12.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    38
    аваст при сканировании папки sys32 упорно что-то находит типа
    Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\WinCtrl32.dll" file.
    Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\WinCtrl32.dl_" file.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -пофиксить в HijackThis
    Код:
    O1 - Hosts:
    O1 - Hosts:
    O1 - Hosts: 404 Not Found
    O1 - Hosts:
    O1 - Hosts: Not Found
    O1 - Hosts: The requested URL /spm/hosts.txt was not found on this server.
    O1 - Hosts:
    O1 - Hosts: Apache/2.2 Server at 206.51.238.230 Port 80
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    -выполнить в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     StopService('Beep');
     StopService('Winvo66');
     BC_DeleteFile('C:\WINDOWS\iexplorer.exe');
     BC_DeleteFile('C:\WINDOWS\services.exe');
     TerminateProcessByName('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winvo66.sys');
     BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ...после перезагрузки, ещё раз, сделайте свежие логи...
    -и пришлите через форму http://virusinfo.info/upload_virus.php?tid=25468 карантин, который получился после топика #5
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  10. #9
    Junior Member Репутация
    Регистрация
    02.12.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    38
    спасибо!
    скрипт выполнен, архив выслан
    новые логи прилагаю

    вопрос
    в Хиджаке эти процессы не опасны?
    O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
    O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
    Вложения Вложения
    Последний раз редактировалось Kondor; 28.06.2008 в 17:53. Причина: дополнение

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -пофиксить в HijackThis
    Код:
    O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
    O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
    -выполнить в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      RegKeyDel('HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, iexplorer',' ');
      RegKeyDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, runservices',' ');
      RegKeyDel('HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName',' ');
      BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
      BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteSvc('Winng15');
     BC_DeleteSvc('Winvo66');
     BC_DeleteSvc('Beep');
    BC_Activate;
    RebootWindows(true);
    end.
    ...после перезагрузки, ещё раз, сделайте свежие логи...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  12. #11
    Junior Member Репутация
    Регистрация
    02.12.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    38
    новые логи
    вроде все чисто
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -ну, в общем то, чисто... осталось пофиксить в HijackThis
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A8E84DFB-4ABD-424D-8479-AFE9B3846894}: Domain = 172.30.30.30
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A8E84DFB-4ABD-424D-8479-AFE9B3846894}: NameServer = 172.20.20.20,172.30.30.30
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    ...но это уже не столь критично.
    -после фикса, может понадобиться переподключиться к сети
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  14. #13
    Junior Member Репутация
    Регистрация
    02.12.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    38
    спасибо!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Kondor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Атаковал сервер вирус
      От Максим Цыкалов в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.05.2012, 10:52
    2. Атаковал вирус АнтиВКонтакте.Помогите
      От Natya1997 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.12.2010, 23:17
    3. Атаковал вирус АнтиВКонтакте
      От kinda в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.09.2010, 15:00
    4. Ответов: 7
      Последнее сообщение: 11.04.2010, 19:08
    5. Атаковал вирус или вирусы
      От exchips в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.08.2008, 18:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01164 seconds with 17 queries