Показано с 1 по 20 из 20.

nod32 нашел podnuha. Убить не смог ни он ни DrWeb (заявка № 36351)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56

    Thumbs up nod32 нашел podnuha. Убить не смог ни он ни DrWeb

    Здравствуйте!
    NOD32 стал кричать , что в памяти обнаружен вирус win32\rootkit Podnuha, и заражение происходит из c:\winnt\system32\siadmi.dll.
    Убить он его (вирус) не может.
    Скачали Dr.Web CureIt, тот находит вирус, говорит что убил.
    Запускаем проверку NOD32, тот говорит что все чисто.
    перезапускаемся - все повторяется.
    ПРобовали лечить комп в безопасном режиме - эффект тот-же.
    ПОМОГИТЕ избавиться от заразы
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Megaupload Toolbar удалите - оно не нужно.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\twaintec.dll','');
     QuarantineFile('c:\winnt\system32\ircsrv.exe','');
     QuarantineFile('C:\WINNT\system32\AlxTB1.dll','');
     QuarantineFile('C:\WINNT\nem219.dll','');
     QuarantineFile('C:\WINNT\nem218.dll','');
     QuarantineFile('C:\Program Files\ISTbar\istbar.dll','');
     QuarantineFile('c:\program files\exceed.nt\traceexceedlang.exe','');
     QuarantineFile('c:\program files\180search assistant\180sahook.dll','');
     QuarantineFile('c:\program files\180search assistant\180sa.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0812-upd231418.exe','');
     DeleteFile('C:\WINNT\twaintec.dll');
     DeleteFile('C:\WINNT\system32\AlxTB1.dll');
     DeleteFile('C:\WINNT\nem219.dll');
     DeleteFile('C:\WINNT\nem218.dll');
     DeleteFile('C:\Program Files\ISTbar\istbar.dll');
     DeleteFile('c:\program files\180search assistant\180sahook.dll');
     DeleteFile('c:\program files\180search assistant\180sa.exe');
     DelBHO('{F7F808F0-6F7D-442C-93E3-4A4827C2E4C8}');
     DelBHO('{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}');
     DelBHO('{5F1ABCDB-A875-46c1-8345-B72A4567E486}');
     DelBHO('{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}');
     DelBHO('{000020DD-C72E-4113-AF77-DD56626C6C42}');
     DelBHO('{00000010-6F7D-442C-93E3-4A4827C2E4C8}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Логи после выполнения скриптов прилагаются.
    Одно замечание - у нас винды 2000, отключить восстановление системных файлов не получилось ( не нашли, как это сделать).
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от mega Посмотреть сообщение
    Одно замечание - у нас винды 2000, отключить восстановление системных файлов не получилось ( не нашли, как это сделать).
    Нету его там, вот поэтому и не нашли.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Так и что тогда делать? Как лечить?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Скрипт жа Вам Рене написал. В нем все лечение и прописано. Исполняйте его и присылайте новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Цитата Сообщение от PavelA Посмотреть сообщение
    Скрипт жа Вам Рене написал. В нем все лечение и прописано. Исполняйте его и присылайте новые логи.
    Мы уже выполняли посланные скрипты и отослали 3 новых лога ( письмо №3).
    К сожалению лечение пока не помогло..., ESET находит новые заражённые файлы...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mega Посмотреть сообщение
    Мы уже выполняли посланные скрипты и отослали 3 новых лога ( письмо №3).
    Почему карантин не загрузили?

  10. #9
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Виноваты, пропустили пункт! Только что послали.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от mega Посмотреть сообщение
    Виноваты, пропустили пункт! Только что послали.
    Вот теперь будем опять ждать, пока ВЛ проверит.

  12. #11
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Добрый день!
    Вышли на работу... Нет-ли каких нибудь новостей о решении нашей печали????

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Делайте новые логи...

  14. #13
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Посылаем новые логи
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    выполните
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Documents and Settings\All Users\Ãëàâíîå ìåíþ\Ïðîãðàììû\Àâòîçàãðóçêà\MS-0812-upd231418.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  16. #15
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Выполнили полученный скрипт.
    После этого проверили машину ESETом и DRWebом - всё ОК.
    Большое спасибо за помощь!!!!

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Повторите пункт 2 диагностики...

  18. #17
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Высылаем log файл
    Вложения Вложения

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    ничего плохого не вижу

  20. #19
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    10
    Вес репутации
    56
    Ещё раз огромное спасибо!!!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\ms-0812-upd231418.exe - Trojan-Dropper.Win32.Agent.acha (DrWEB: Trojan.MulDrop.2955


  • Уважаемый(ая) mega, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. drweb нашел Qhost
      От taishigo в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.04.2010, 14:13
    2. Вирус который смог убить хорошую защиту
      От myxabaf в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.03.2009, 17:22
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 01:45
    4. Rootkit.Win32.Podnuha.ak detected by nod32
      От koNpav в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.05.2008, 23:09
    5. DRweb нашел зверинец
      От glit в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.01.2008, 17:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00628 seconds with 18 queries