Показано с 1 по 6 из 6.

Win32.HLLW.Medbod.69 (заявка № 25514)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40

    Thumbs up Win32.HLLW.Medbod.69

    Доброго времени суток.
    пару дней назад началось интересное: раз в 1-1,5 часа Доктор ругается на файлы с именем типа 13exhmunmlcl24.exe.
    Путь к файлам и диагноз Доктора следующие:
    29-06-2008 13:17:17 [CL] C:\Documents and Settings\Admin\Local Settings\Temp\13exhmunmlcl24.exe - инфицирован Win32.HLLW.Medbod.69
    После удаления Доктором этого файла через некоторое время он появляется там же но под другим именем, например
    29-06-2008 10:17:07 [CL] C:\Documents and Settings\Admin\Local Settings\Temp\0exhmunmlcl24.exe - инфицирован Win32.HLLW.Medbod.69
    По логике - на комп попала гадость, плодящая эти файлы и пока невидимая Доктору.
    После прогона первого скрипта и перезагрузки, после старта системы аутпост выдал окно, что процесс svmss пытается изменить процесс svchost. Я выбрал запретить.
    Файлы прилагаю. Заранее спасибо.
    Последний раз редактировалось Лангольер; 03.09.2008 в 12:13.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system\smvss.exe','');
     DeleteFile('C:\WINDOWS\system\smvss.exe');
     DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=25514).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    запаковал svmss из карантина и закачал.
    Результат загрузки

    Файл сохранён как080629_042059_virus_486753fb6fe06.zipРазмер файла35017MD5ea62b5474881b6c2372f3f905e802f7eФайл закачан, спасибо!


    сейчас сделаю логи

  5. #4
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    логи
    Последний раз редактировалось Лангольер; 03.09.2008 в 12:13.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    smvss.exe - свежий троянчик.

    В логах чисто.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    29
    Вес репутации
    40
    пока тихо)
    кстати, начал в голове отматывать назад историю до появления вируса и вспомнил, что он первый раз дал себя знать после того, как я скачал exeшник для запуска игры Сталкер без CD и, подменив оригинальный файл, запустил игру. После этого проверил этот exeшник на Вирустотале - ругнулся только Webwasher своим эвристиком.
    Сейчас попробую запустить сталкера, и, если проблема там, снесу его к черту и снова обращусь за помощью)))

    Добавлено через 11 минут

    smvss.exe не видать.
    Спасибо большое.
    P.S. Bratez, а старая аватарка была лучше
    Последний раз редактировалось Лангольер; 29.06.2008 в 13:12. Причина: Добавлено

  • Уважаемый(ая) Лангольер, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусы Win32.HLLW.Autoruner.5555 и WIN32.HLLW.Shadow.based
      От ShroomHumanoID в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.12.2011, 22:07
    2. Win32.HLLW.Autohit.3438 и Win32.HLLW.Gavir.ini
      От parus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.03.2009, 14:13
    3. Win32.HLLW.Autoruner.corrupted / Win32.HLLW.Autoruner.5555 [Net-Worm.Win32.Kido.ih ]
      От heidelberg23 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:49
    4. Win32/Sality.NAU & Win32.HLLW.Autoruner.3438, 2905, 3321, 3912
      От Vlad_Bor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.11.2008, 11:59
    5. Не могу избаться от win32.HLLW.MyBot(Backdoor.Win32.SdBot.aya)
      От Drovosek в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 25.10.2006, 12:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01476 seconds with 16 queries