Показано с 1 по 19 из 19.

viklik, amvo, kvosoft... (заявка № 31228)

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57

    viklik, amvo, kvosoft...

    Вобщем банальная ситуация - знакомый с флэш-драйвом, на котором конечно же банальный авторан. Хоть я и перед открытием прогнал драйв через CureIt, всеравно каким-то образом подцепил заразу...
    Сразу классически решил от этого избавиться: полез в безопасный режим на прогон системы через CureIt, не тут то было, компьютер вырубается без всякой причины в безопастном режиме через неопределенное количество времени (тупо выключается, ни BoS, ни рестарт, никаких ошибок), так что второй пункт правил в "Правилах", разделе "Подготовка" я конечно же не смог выполнить. Хотя думаю скорее проблема внезапного выключения содержится в железе или драйверах, нежели в каком-то вредоносном софте.
    Еще как только подцепил заразу с флэш-драйва, резко возрасло потребление ОЗУ и съело даже всю виртуальную-озу. В авторан.ини прописалась заразка kvosoft.exe, скрытые файлы ушли из видимости, CureIt проверкой не из под безопастного режима нашел amvo, но не убил его. Файрволл Comodo стал запрещать любым приложениям выход в сеть. Вот вроде все...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Все тут намного запущенней, я бы так сказал. Сейчас нарисую скрипт.

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\n.com','');
     QuarantineFile('C:\autorun.inf','');
     DelBHO('{09c79747-1e51-496a-b5fc-a060473f4afa}');
     QuarantineFile('ideodim.dll','');
     QuarantineFile('C:\WINDOWS\system32\svghost.exe','');
     QuarantineFile('C:\WINDOWS\system32\lsasss.exe','');
     QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\iatmunin.sys','');
     QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
     BC_DeleteSvc('Microsoft Inet Service');
     DeleteFile('C:\WINDOWS\system32\_svchost.exe');
     DeleteFile('C:\WINDOWS\system32\lsasss.exe');
     DeleteFile('C:\WINDOWS\system32\svghost.exe');
     DeleteFile('ideodim.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\n.com');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин через красную ссылку.

    Сделать новые логи.
    Последний раз редактировалось PavelA; 01.10.2008 в 19:52. Причина: Конец работы, запарился
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    хех, а вроде регулярно прогоняю CureIt'ом и Ad-aware...
    Спасибо за помощь и скрипт, но в нём ошибка синтаксиса вот тут вроде:
    BC_DeleteService('Microsoft Inet Service');Я с avz не дружу, потому не уверен в чем ошибка...

    Добавлено через 2 минуты

    Ага, там BC_ лишнее, проверяю...
    Последний раз редактировалось FKSrsfsr; 01.10.2008 в 19:48. Причина: Добавлено

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нет там все было с умыслом написано. Я поправил.

    Куреит с Адваре не спасают по нашей статистике. Лучше плохенький но а/вирус со сканером.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    Пока вы исправляли, успел прогнать скрипт сам... Теперь и исправленный прогнал, карантин залил, сейчас логи состряпаю...
    Куреит с Адваре не спасают по нашей статистике. Лучше плохенький но а/вирус со сканером.
    Почему бы им и не спасать, если стоит грамотный файрволл и к компьютеру не подключать всякие переносные носители информации с глупыми авторанами?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Мой скрипт тому подтверждение. Веб-а/вирус, встроенный в норм. продукт, убил бы почти все это на подлете.
    Да, Куреит надо обновлять каждый божий день, а а/вирус делает это сам.

    Но это немного уже офф для этой темы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    Комодо с интернетом нормально стали дружить, kvosoft.exe в авторан.ини прописываться перестал, это уже всё радует
    Вот логи... Скрытые файлики все еще что-то держит за яйца...
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    А не, вру, со скрытыми все впорядке, в реестре изменил значение и все нормально... Вроде ничего больше анормального не видно...

    Добавлено через 4 минуты

    И чуть не забыл:
    На момент начала проблем к компьютеру был подключен внешний жесткий диск, на нём наверняка теперь сидят авторанчики... Как можно их безопасно вырезать теперь?
    Последний раз редактировалось FKSrsfsr; 01.10.2008 в 21:05. Причина: Добавлено

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключить автозапуск со сменных устройств, подключить хард, проверить свежими базами*

    *Если нет сигнатуры и файлы не удаляться, ни в коем случае не открывайте разделы харда двойным щелчком, удалите эти файлы используя проводник и ФМ...

  11. #10
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    Хм.. подключил жесткий, авторанчики там имеются... Можно пожалуйста описать по-подробнее, как можно убить конкретный авторан, не запуская его, при этом используя возможности самого виндоус, а не чего-то стороннего... Заранее спасибо.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключить автозапуск ( обязательно) ,открывать разделы правой кнопкой мыши "Проводник" и удалять...

  13. #12
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    Вроде отключил авторан в реестре, попробую перегрузиться и сделать так, как вы сказали... надеюсь они и в правду не запустятся... ^_^

    Добавлено через 10 минут

    Ок, я балбес, авторан всеравно сработал при открытии "правая мышь > проводник", делаю такой вывод, ибо скрытые файлики пропали... T_T
    Мб я не так отключил авторан? Как это вобще правильно делается?
    Последний раз редактировалось FKSrsfsr; 01.10.2008 в 22:03. Причина: Добавлено

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Значит плохо отключили Делается это так http://virusinfo.info/showthread.php?t=16459

    Авторан не будет стартовать через правую кнопку "Проводник"

  15. #14
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    Почти так же и отключал, только значение другое вводил... мда... Теперь придется заного все фиксить =( Завтра уже кину логи...

  16. #15
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    Собственно вот логи, после успешного возвращения вирусяков...
    Извините за мою глупость...
    Вложения Вложения

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Съемный жесткий был подключен когда логи делали? Если нет, то подключить и повторить логи.

    Был бы норм. а/вирус не было бы у Вас таких проблем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    18
    Вес репутации
    57
    Вот с жестким подключенным...
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,
    O15 - Trusted Zone: http://www.thaicybergames.com
    O20 - Winlogon Notify: ideodim - C:\WINDOWS\
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('iatmunin');
     DeleteService('iatmunin');
     QuarantineFile('svghost.exe','');
     DelBHO('{CE7C3CF0-4B15-11D1-ABED-709549C10000}');
     QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\tsearch.zip','');
     QuarantineFile('C:\WINDOWS\system32\hgkjghg0.dll','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\n.com','');
     DeleteFile('C:\n.com');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\hgkjghg0.dll');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\tsearch.zip');
     DeleteFile('svghost.exe');
     DeleteFile('C:\WINDOWS\system32\svghost.exe');
     DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\iatmunin.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('iatmunin');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
    - Прикрепите логи к новому сообщению.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\n.com - Trojan.Win32.Agent.aflb (DrWEB: Trojan.Nsanti.Packed)
      2. c:\\windows\\system32\\svghost.exe - Backdoor.Win32.Rbot.rue (DrWEB: BackDoor.IRC.Sdbot.3755)


  • Уважаемый(ая) FKSrsfsr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. amvo.exe
      От yara в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.12.2009, 16:55
    2. amvo.dll
      От ipDoink в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.05.2009, 12:55
    3. Та же AMVO % (
      От PaPa в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 04:28
    4. amvo.exe
      От Мурад в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01476 seconds with 20 queries