Показано с 1 по 15 из 15.

Вот такая вот проблема... (заявка № 38814)

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33

    Question Вот такая вот проблема...

    Вирус возник на компьютере буквально "из ниоткуда", я не знаю пути происхождения,и что с ним делать...

    Симптомы:
    1) Мой Компьютер - при нажатии на любой из дисков вылетает окно "Выберите программу для открытия C:\", ну и так далее
    2) Постоянно открывались какие-то китайские сайты в Internet Explorer'e
    3) Если в Проводнике пытаться вписать URL то будет сообщение об ошибке "Windows не может найти (null) "
    4) HijackThis не запускается без переименования - выдает сообщение об ошибке "Указанный путь не существует"
    5) При попытке активации AVZ Guard в AVZ вылетает сообщение "Ошибка активации AVZ Guard" и в консоль пишется "Ошибка AVZ Guard: C000036B"
    6) Пытался установить NOD32, в конце установки тот заявил "Ошибка запуска службы ekrn", в результате установить не смог

    Логи прилагаю.

    Помогите,пожалуйста.....))
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ло из терминальной сесии молопригодны .... переделайте

  4. #3
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33
    простите,что переделать?
    терминальная сессия или что-то типа Radmin - единственный способ связи с машиной,т.к компьютер находится в ДЦ

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    авз с 2003 и так не очень дружит да еще из под терминальной сесии ...

  6. #5
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33
    Тут к сожалению ничего другого придумать нельзя....

    Вы что-то еще посоветовать можете по излечению клиента?..Убивать Windows и ставить заново - совсем не вариант,потому что у нас установлено специальное программное обеспечение,которое активируется по fingerprint, отпечатку системы, который зависит от конкретной ОС...переустановка ОС = смена Fingerprint,что недопустимо......
    Есть ли хоть какая-то зацепка,что мне с ним(с компом) делать?

    Добавлено через 2 минуты

    Код:
    3. Сканирование дисков
    C:\Documents and Settings\admin2\Local Settings\Temporary Internet Files\Content.IE5\MNH4RF8T\guowai[1].exe >>> подозрение на Trojan-Downloader.Win32.Agent.bebi ( 0A527DCC 02C27223 00235B19 0027AF51 60416)
    C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\MNH4RF8T\guowai[1].exe >>> подозрение на Trojan-Downloader.Win32.Agent.bebi ( 0A527DCC 02C27223 00235B19 0027AF51 60416)
    C:\Documents and Settings\sqldebugger\Local Settings\Temporary Internet Files\Content.IE5\MNH4RF8T\guowai[1].exe >>> подозрение на Trojan-Downloader.Win32.Agent.bebi ( 0A527DCC 02C27223 00235B19 0027AF51 60416)
    вот еще,только что выдало...
    Последний раз редактировалось EngageR; 02.02.2009 в 21:39. Причина: Добавлено

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    удалите временные интернет файлы
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Intel\baiduc.dll','');
     DelBHO('{295AB8C6-FB22-4D17-8834-064E2BA0A6F0}');
     DeleteService('tcim');
     QuarantineFile('C:\WINDOWS\system32\tcim.exe','');
     DeleteService('jlqk');
     QuarantineFile('C:\WINDOWS\system32\jlqk.exe','');
     DeleteFile('C:\WINDOWS\system32\jlqk.exe');
     DeleteFile('C:\WINDOWS\system32\tcim.exe');
     DeleteFile('C:\WINDOWS\Intel\baiduc.dll');
    BC_ImportDeletedList;
    ExecuteRepair(9);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33
    Результат загрузки

    Файл сохранён как 090202_225329_virus_49874f394b8e6.zip
    Размер файла 104708
    MD5 fba6c8b88dac9f1fc36ad75ddd8a7861
    Файл закачан, спасибо!
    Логи в аттаче....Карантин выслал.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33
    P.S После выполнения полного сканирования утилитой CureIt и скрипта, пункты 2,4,6 из первого поста отпали.....уже лучше..но тем не менее..
    Установил антивир, Нод32, начал сканить.

    C:\WINDOWS\system32\mywcc090112.dll - модифицированный Win32/Spy.Delf.NHV троянская программа - очищен удалением - изолирован
    C:\WINDOWS\Intel\pctools_2000131_7994.dll - вероятно модифицированный Win32/Adware.Cinmus приложение - очищен удалением - изолирован
    ..а CureIt не поймал....

  10. #9
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33
    up...

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon экспортируйте и приложите

  12. #11
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33
    Вот он.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    просмотрите диски на наличие авторанов

  14. #13
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33
    _http://www.freesoft.ru/?id=671712
    вот ей просмотрел,чисто. NOD32 ничего не нашел.

  15. #14
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    9
    Вес репутации
    33
    up

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin2\local settings\temporary internet files\content.ie5\mnh4rf8t\guowai[1].exe - Trojan-Downloader.Win32.Agent.bgfu
      2. c:\documents and settings\default user\local settings\temporary internet files\content.ie5\mnh4rf8t\guowai[1].exe - Trojan-Downloader.Win32.Agent.bgfu
      3. c:\documents and settings\sqldebugger\local settings\temporary internet files\content.ie5\mnh4rf8t\guowai[1].exe - Trojan-Downloader.Win32.Agent.bgfu


  • Уважаемый(ая) EngageR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Есть такая проблема
      От slavasimpex в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 04.08.2011, 19:45
    2. Вот такая проблема....
      От vlad6299 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.05.2010, 10:32
    3. Вот такая проблема....
      От vlad6299 в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 09.05.2010, 10:17
    4. Дня 4 такая проблема с компом
      От lukasik в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.02.2010, 17:21
    5. ТАкая проблема
      От dReaMer в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 06:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00044 seconds with 17 queries