-
Junior Member
- Вес репутации
- 58
не возможно изменить ДНСсервера, явно живет что то
отловить не получается....
1. ругается радмин на повреждение самого себя
2. ругается AVZ на не соответствие контрольной суммы
3. не открывается ряд ресурсов связаных с антивирусами ...
3.1 не могу скачать AVPtools последний
3.2 не обновляется каспер (kaspersky.ru - доступен)
3.3 не обновляется AVG (avg.com доступен)
.... короче недоступны какие куски...
4. ДНС : 85.255.116.119;85.255.112.220
4.1 при замене через сетевое остаются прежними
4.2 при замене в реестре остаются прежними
5. в папке System32 куча файлов вида 00636418586lp.exe
AhnLab-V3 5.0.0.2 2009.01.27 Win-Trojan/Agent.25088.CL
Authentium 5.1.0.4 2009.01.27 W32/Proxy.BVA
Avast 4.8.1281.0 2009.01.27 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.27 Proxy.NZL
eSafe 7.0.17.0 2009.01.27 Suspicious File
F-Prot 4.4.4.56 2009.01.27 W32/Proxy.BVA
GData 19 2009.01.27 Win32:Trojan-gen {Other}
K7AntiVirus 7.10.607 2009.01.27 Trojan-Proxy.Win32.Agent.lp
Symantec 10 2009.01.27 Trojan Horse
ViRobot 2009.1.23.1577 2009.01.26 Trojan.Win32.Proxy.25088.H
PS: полностью все по правилам выполнить нет физической возможность, поэтому :
полной проверки в безопасном режиме не проводилось
проводилась в нормальном устарешей авптул на 2недели, кьюретом свежим
и при проверке от интернета небыло возможности отключить по причине удаленной работы на компе
вроде все...
Последний раз редактировалось virussnu; 15.06.2009 в 04:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Очевидно, у вас файловый вирус.
Методика лечения тут: http://virusinfo.info/showthread.php?t=15927. (Рекомендуется способ #1. Запись на CD и безопасный режим - обязательно, иначе ничего не выйдет).
После этого скачайте заново AVZ и HijackThis, обновите базы AVZ и сделайте еще раз логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
думаю что это очевидно не поможет, явно надо подозрительное на анализ, virustotal.com очевидно на один из хвостов вируса выдал то что написано в сообщении выше, те ни касперский ни дрвеб ни нод32 ничего подозрительного не нашли....
еще раз повторю к машине нет полного физического доступа... в защищенный режим ее сложно ввести...
-
virustotal.com очевидно на один из хвостов вируса выдал то что написано в сообщении выше, те ни касперский ни дрвеб ни нод32 ничего подозрительного не нашли....
Троян женерик мы вам и без антивирусов найдем, надо сначала файловый убить.
еще раз повторю к машине нет полного физического доступа... в защищенный режим ее сложно ввести...
В данном случае без этого вам сам Господь Бог не поможет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
вообщем вчера выкинул 1 из файлов (753475lp.exe) из system32 вебу на анализ
и на ночь притащил комп домой...
проверил его liveCD dr web, потом разархивированом и записаном на диск на чистой машине cureit-ом... ровным счетом ничего не нашли даже подозрений нет
после сделаны логи согласно правилам
Последний раз редактировалось virussnu; 15.06.2009 в 04:56.
-
AVZPM установите и сделайте новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось virussnu; 15.06.2009 в 04:56.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\msqpdxmqltoiqh.sys','');
DeleteFile('\systemroot\system32\drivers\msqpdxmqltoiqh.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксить
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CBFB5CC-D82A-46E6-AC75-0ED74D941902}: NameServer = 85.255.116.119;85.255.112.220
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.119;85.255.112.220
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 58
вообщем почти по правилам сделано, на компьютере уже много работы поэтому пришлось делать как есть... или будет опять задержка в логах... как минимум до вечера
Последний раз редактировалось virussnu; 15.06.2009 в 04:56.
-
В логах чисто, установите SP3+all updates...
-
-
Еще хорошо бы сделать полную проверку а/вирусом или Куреитом для зачистки остатков.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
прошу объяснить смысл запускать кьюрит, если лив сиди веба ровным счетом ничего не нашел... вы наверное не внимательно читали посты выше
кстати что с набором мусора в систем32 ? мне совсем не понятно почему их не видит кьюрит и авптул...
вообщем все фигня вы на 100% уверены что лиги полностью чистые на данный момент ... если да будем систем 32 ручками зачищать... и радмина переставлять ...
-
Я все читал, но не понял: проверка куреитом была экспресс, как по умолчанию, или полной?
Можно провести зачистку альтер. утилитами типа Combofix, у нас на сайте они не приветствуются, т.к. иногда удаляют лишнее.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
все проверки которые проводились были полными...
-
Да в логах чисто, если в system32 остался мусор мы не виноваты, драйвер грохнут без него dll' ки не работают, их можно удалять руками, поэтому они и в лог не попадают, неактивны...
-
-
Junior Member
- Вес репутации
- 58
Большое всем спасибо! Глюков и подозрительного на компе не обнаружено... премного благодарен...
ЗЫ: вынес некоторый полезный опыт в исследовании системы и поиске глюков
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\msqpdxmqltoiqh.sys - Rootkit.Win32.TDSS.eyj
-