Показано с 1 по 20 из 20.

Целый букет заразы (заявка № 25564)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205

    Exclamation Целый букет заразы

    нод определил следущие разновидности зверей
    wigon.ck
    TrojanDownloader.FakeAlert.DJ
    PSWChill.B
    Statik
    TrojanDownloader.Tiny.NJ
    а AVZ нашел
    Zbot.cns
    mutant.aib

    мутант и збот в карантине есть + еще чтото непонятное там есть
    если надо могу выслать


    да кстати, негрузиться вирустотал, сайт нода, другие не пробовал, может и они не грузяться
    пропали закладки в свойствах экрана, (это помоему в логох должно написано быть)
    Последний раз редактировалось Hanson; 05.08.2008 в 10:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     QuarantineFile('C:\WINDOWS\iexplorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphctw4j0e77c.scr','');
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ouy38.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ouy38.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\iexplorer.exe');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
    BC_ImportAll;
    BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
    BC_DeleteSvc('runtime2');
    BC_DeleteSvc('Ouy38');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25564

    Повтрите логи.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    Файл сохранён как 080630_050913_virus_4868b0c9c3e90.zip
    Размер файла 202786
    MD5 92b8d5aef0d932fe1dd086c6013decf7

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Trojan-Spy.Win32.BZub.eao - C:\WINDOWS\system32\ipv6monl.dll
    Trojan-Downloader.Win32.Mutant.aij - C:\WINDOWS\system32\WinCtrl32.dll

    C:\WINDOWS\iexplorer.exe мало кто знает.

    ни одного экземпляра вот этого ты не заслал - PSWChill.B
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    Цитата Сообщение от PavelA Посмотреть сообщение
    Trojan-Spy.Win32.BZub.eao - C:\WINDOWS\system32\ipv6monl.dll
    Trojan-Downloader.Win32.Mutant.aij - C:\WINDOWS\system32\WinCtrl32.dll

    C:\WINDOWS\iexplorer.exe мало кто знает.

    ни одного экземпляра вот этого ты не заслал - PSWChill.B
    этих вроде как нод прибивал, они в его карантине, если надо могу пристать и его

    кстати WinCtrl32.dll выжил после скрипта, + видимо создал winns84
    добил через айсворд и скриптом
    теперь вроде нет его(покрайней мере рансканер непоказывает)

    Добавлено через 4 минуты

    кстати тут еще есть файлик Midisyn.sys
    разве это не вирус??
    а еще такой появился , вроде тож странный
    C:\WINDOWS\System32\drivers\runtime.sys
    Последний раз редактировалось Hanson; 30.06.2008 в 13:49. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Мы ж новых логов не видим, поэтому не знаем выжил WinCtrl32.dll или нет. Там еще его бэкар может болтаться с таким же именем.

    Давай этого Midisyn.sys через карантин на анализ. Желательно его одного.

    Логи новые надо сделать, чтобы посмотреть что выжило.

    Добавлено через 1 минуту

    C:\WINDOWS\System32\drivers\runtime2.sys - известная штучка.
    Логи делай, добъем зверя.
    Последний раз редактировалось PavelA; 30.06.2008 в 13:49. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    ошибка карантина

    логи уже делаю

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    ну вот свежие логи.

    карантин нода слать?
    Последний раз редактировалось Hanson; 05.08.2008 в 10:10.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    постоянно хост забивается чемто, после каждой перезагрузки

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Вот еще один попался:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
     DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин и снова делать логи.
    runtime2.sys в логах не увидел.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    C:\WINDOWS\System32\drivers\runtime.sys
    у меня рансканер показывает его красным, а в логах и правда невидно его
    а что насчет C:\WINDOWS\System32\drivers\midisyn.sys

    Добавлено через 4 минуты

    карантин пуст
    Последний раз редактировалось Hanson; 30.06.2008 в 14:40. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    новые логи
    Последний раз редактировалось Hanson; 05.08.2008 в 10:10.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    C:\WINDOWS\system32\blphctw4j0e77c.scr в реестре и в ини файле
    C:\WINDOWS\system32\msnmod.exe
    C:\Program Files\MDPREI\mpki\mpkishex.dll, вот этот странный

    вот что я нашел

    и по этому тож вопрос еще C:\WINDOWS\system32\drivers\MidiSyn.sys

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Для остатков runtime сделаю скрипт. Это довольно старенькое зло с хорошо известным составом.

    Добавлено через 1 минуту

    C:\WINDOWS\system32\blphctw4j0e77c.scr - шутка от sysinternals (screensaver s BSOD)
    Последний раз редактировалось PavelA; 30.06.2008 в 15:13. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    тоесть его надо удалять???

    Добавлено через 20 минут

    есть еще проблемы
    в Host постоянно прописыфвается ерунда всякая
    и в свойствах экрана нет закладок некоторых
    Последний раз редактировалось Hanson; 30.06.2008 в 15:36. Причина: Добавлено

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Лови лечилку для экрана:
    http://www.kellys-korner-xp.com/regs...desktoptab.reg

    Я думал, что в hosts это твое
    Попробуй:
    Код:
    begin
    Clearhostsfile;
    end.
    После перезагрузки посмотри появится заново ерунда эта или нет.
    Последний раз редактировалось PavelA; 30.06.2008 в 15:56.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    ожил
    и хост' ик чистый теперь
    Последний раз редактировалось Hanson; 30.06.2008 в 16:01.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    На том сайте много полезного есть. Только использовать надо аккуратно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    у меня остались только вопросы к system32\drivers\MidiSyn.sys
    вот сдесь его удаляют http://virusinfo.info/showthread.php?p=233589

    Добавлено через 1 минуту

    Цитата Сообщение от PavelA Посмотреть сообщение
    На том сайте много полезного есть. Только использовать надо аккуратно.
    вот на этом ?? http://www.kellys-korner-xp.com
    Последний раз редактировалось Hanson; 30.06.2008 в 16:04. Причина: Добавлено

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Угу.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Hanson, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Целый букет вирусов
      От Eleven в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.12.2009, 00:26
    2. Целый букет вредоносных программ
      От Sergiil в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 03:32
    3. Целый букет, компьютер еле жив.
      От Mio в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 03:31
    4. Целый букет вирусов
      От mirage11 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 02:57
    5. Целый "букет" всякой заразы
      От Marginal в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 17.08.2007, 16:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00448 seconds with 16 queries