Показано с 1 по 18 из 18.

Активация скрытого процесса! (заявка № 26878)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60

    Thumbs up Активация скрытого процесса!

    После лечения компа всеми антивирусами.AVAST HE начинает кричать,что активируется скрытый,вредоносный процесс.После лечения,вирусы опять появляются.
    AVZ вредоносные файлы поместил в карантин.Могу выслать этот карантин,для анализа.
    Последний раз редактировалось dragon772; 29.07.2008 в 16:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это тот же РС или другой?

    Полную проверку AVPTool делали? Просто уж больно много всего, да хвостов от малваре хватает.

    Скачать IceSword. В нем удалить:
    C:\WINDOWS\System32\Drivers\Jqx62.sys
    C:\WINDOWS\System32\Drivers\Xfl63.sys

    Выполнить
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents.exe','');
     QuarantineFile('crypt32.dll','');
     QuarantineFile('kdkhf.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\pjpglm.sys','');
     BC_DeleteSvc('FCI');
    BC_DeleteSvc('Google Online Services');
     DeleteService('Jqx62');
     SetServiceStart('Jqx62', 4);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Xfl63.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jqx62.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jqx62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Xfl63.sys');
     DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
     DeleteFile('kdkhf.exe');
     DeleteFile('crypt32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи.

    Загрузить карантин.
    Последний раз редактировалось PavelA; 22.07.2008 в 17:26.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60
    PC другой!

    Тестировал CureIT Dr.web и AVP Tools,все,что найдено,было удалено!
    Кроме,этого скрытого процесса,он остался,почему-то в карантине AVZ.

    Карантин выслал.
    Файл сохранён как080722_084744_virus_4885e5005b693.zipРазмер файла129837MD5b17fe9650030a096bd0e5e62e844d0d6
    Логи,чуть позже сделаю.

    Линк на ICeSword не рабочий!
    http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
    Последний раз редактировалось dragon772; 22.07.2008 в 17:58.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Тот линк у меня срабатывает запросто.
    Держи другой:
    http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60
    Ничего не понимаю.Первый линк заработал,но WinRar пишет,что архив поврежден или имеет неизвестный формат.
    А второй линк вообще виснет,внутренная ошибка сервера 500.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Третий достал из заначки:
    http://www.megaupload.com/?d=AUGYD37C
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60
    Все сделал!
    Новые логи...
    Последний раз редактировалось dragon772; 29.07.2008 в 16:16.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    updatedd.pif - это IceSword?

    Поищи в AVZ Documents.exe,nax.exe. Если найдутся, то прислать. По Вашему карантину ответа пока нет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60
    Цитата Сообщение от PavelA Посмотреть сообщение
    updatedd.pif - это IceSword?

    Поищи в AVZ Documents.exe,nax.exe. Если найдутся, то прислать. По Вашему карантину ответа пока нет.
    updatedd.pif - появлялся на рабочем столе сам по себе,явный признак действия вирусов.
    IceSword был запущен,как 1.ехе,так и висел в процессах.

    В карантине и infected -файлов documents,nax.exe - нет.
    Есть смысл прислать архив папки infected?

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Конечно есть, м.б. там что-то интересное завалялось.

    Что-то мусора много осталось, будем скриптом удалять, жди.

    Добавлено через 10 минут

    вот что получилось:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('dpti930');
     BC_DeleteSvc('VSS');
     BC_DeleteSvc('srservice');
     QuarantineFile('C:\Documents and Settings\lebedev.AUTON\nax.exe','');
     QuarantineFile('C:\Documents and Settings\lebedev.AUTON\Desktop\updatedd.pif','');
     BC_DeleteSvc('PolicyAgent');
     BC_DeleteSvc('NVSvc');
     BC_DeleteSvc('Nla');
     BC_DeleteSvc('COMSysApp');
     BC_DeleteSvc('ClipSrv');
     BC_DeleteSvc('CiSvc');
     BC_DeleteSvc('Browser');
     DeleteFile('C:\Documents and Settings\lebedev.AUTON\Desktop\updatedd.pif');
     DeleteFile('C:\Documents and Settings\lebedev.AUTON\nax.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\pjpglm.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После него новые логи надо сделать.
    Последний раз редактировалось PavelA; 23.07.2008 в 13:04. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60
    Infected закачал.Новые логи выложил!

    Файл сохранён как 080723_061810_virus_48871372b5d32.zip
    Размер файла 129837
    MD5 b17fe9650030a096bd0e5e62e844d0d6
    Последний раз редактировалось dragon772; 29.07.2008 в 16:16.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Через Мастер поиска и устранения проблем разберитесь вот с этим:
    >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
    >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
    >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
    >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
    >> Разрешен автозапуск с HDD
    >> Разрешен автозапуск с сетевых дисков
    >> Разрешен автозапуск со сменных носителей

    В логах я ничего плохого не увидел. Единственное один файлик проверю есть он в карантине или нет.

    Добавлено через 11 минут

    C:\WINDOWS\glok+2738-24a.sys - Trojan.Peacomm.D по Симантеку. Вот это надо еще удалять.
    В логах я его нигде не увидел.

    Карантины ты загрузил какие-то не те. Нам нужны после скриптов из моих сообщений.
    Последний раз редактировалось PavelA; 23.07.2008 в 16:14. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60
    Новые логи..

    C:\WINDOWS\glok+2738-24a.sys AVZ перенес в папку infected. А Cure It удалил его. В карантин,больше ничего не попадало,после последних скриптов!
    Последний раз редактировалось dragon772; 29.07.2008 в 16:16.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    ЛК ответило про него: файл чистый.

    'C:\WINDOWS\System32\Drivers\Jqx62.sys' - вот этот поищи через AVZ. Его в карантине не видно, может его тоже Куреит съел.

    Почему-то из логов он удаляться не хочет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60
    А ЛК - это что?

    Jqx62.sys - нет на диске,нет ссылки в реестре.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    ЛК - Лаборатория Касперского.

    Значит, попробуем это дело извести
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Jqx62');
    BC_Activate;
    RebootWindows(true);
    end.
    Повтори логи с п.10 Правил.

    З.Ы. есть 6000 сообщений
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    01.03.2008
    Сообщений
    184
    Вес репутации
    60
    Вроде избавились от последнего зверя!
    Последний раз редактировалось dragon772; 29.07.2008 в 16:16.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Да, мы вместе с тобой победили.

    Совет будет такой: поставить обновления системы, удалить карантин AVZ/AVPTool.

    Да, и вообще AVPTool деинсталлировать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) dragon772, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. эксплойт скрытого канала
      От Виолет в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 25.12.2011, 20:07
    2. Эксплойт скрытого канала
      От gorill в разделе Общая сетевая безопасность
      Ответов: 11
      Последнее сообщение: 20.09.2010, 17:17
    3. Эксплойт скрытого канала
      От gorill в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.09.2010, 18:00
    4. Подозрения на скрытого трояна
      От Duplex в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.01.2010, 08:58
    5. Удаление скрытого драйвера
      От nord405 в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 17.11.2009, 19:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00033 seconds with 19 queries