Показано с 1 по 10 из 10.

Очень серьёзная проблема! (заявка № 40053)

  1. #1
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    26
    Вес репутации
    33

    Exclamation Очень серьёзная проблема!

    Здравствуйте! На данном компьюторе постоянно уходит траффик...
    В последнее время очень замедлились выполнения процессов.. и перестал разрешать допуск по локальной сети... прилогаю скрины..
    Помогите... типография встала.. несём убытки...

    Последний раз редактировалось eclips_red; 20.02.2010 в 22:37.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('F:\печатник\1\SYSTEM~1\_RESTO~1\RP28\A0044348.DLL','');
     QuarantineFile('F:\печатник\1\DOCUME~1\ИРИНА\LOCALS~1\TEMPOR~1\CONTENT.IE5\GHIB4TIJ\mediat~1.cab','');
     QuarantineFile('F:\печатник\1\DOCUME~1\ИРИНА\LOCALS~1\TEMPOR~1\CONTENT.IE5\E10RITWD\mediat~1.cab','');
     QuarantineFile('C:\WINDOWS\sd4dshd.exe','');
     QuarantineFile('C:\WINDOWS\s2dsxdshd.exe','');
     QuarantineFile('C:\Documents and Settings\ЛИРА\sd4dshd.exe','');
     QuarantineFile('C:\Documents and Settings\ЛИРА\s2dsxdshd.exe','');
     QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe','');
     QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
     QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
     QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-6790040773-6570458761-687340215-5768\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\2.tmp','');
     QuarantineFile('C:\WINDOWS\system32\drivers\WinMgmt.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\NirCmd.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\NirCmd.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\WinMgmt.exe');
     DeleteFile('C:\WINDOWS\system32\2.tmp');
     DeleteFile('C:\RECYCLER\S-1-5-21-6790040773-6570458761-687340215-5768\winlogon.exe');
     DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
     DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
     DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
     DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe');
     DeleteFile('C:\Documents and Settings\ЛИРА\s2dsxdshd.exe');
     DeleteFile('C:\Documents and Settings\ЛИРА\sd4dshd.exe');
     DeleteFile('C:\WINDOWS\s2dsxdshd.exe');
     DeleteFile('C:\WINDOWS\sd4dshd.exe');
     DeleteFile('F:\печатник\1\DOCUME~1\ИРИНА\LOCALS~1\TEMPOR~1\CONTENT.IE5\E10RITWD\mediat~1.cab');
     DeleteFile('F:\печатник\1\DOCUME~1\ИРИНА\LOCALS~1\TEMPOR~1\CONTENT.IE5\GHIB4TIJ\mediat~1.cab');
     DeleteFile('F:\печатник\1\SYSTEM~1\_RESTO~1\RP28\A0044348.DLL');
     DeleteFile('G:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('MEMSWEEP2');
     BC_DeleteSvc('WinSoft Service Controler');
     BC_DeleteSvc('NirSoft Service Controler');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=40053).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    26
    Вес репутации
    33
    скрипт выполниил, высылаю повторно логи, новая проблема система страшно логает см.. скрины карантин тоже высылаю...
    Файл сохранён как090220_104635_virus_499e5fdb3a1a2.zipРазмер файла19003691MD5fd091b5e46eb9d29ab2074250097a16d

    Последний раз редактировалось eclips_red; 20.02.2010 в 22:37.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    удаляйте stopzilla- я не вижу чтобы она вам особенно помогала, только дополнительные лаги.Лучше поставить мощный антивирус у которого уже есть базы шпионов.

    Что это за диск F? , там похоже в архивах почтовый червь.
    F:\Евгений\EugenyWEB\PortalUMC\Schools\12\Сайт школы №12.rar/{RAR}/r67pS02.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\EugenyWEB\PortalUMC\Schools\Guo\21_03_0 6\мо рф.rar/{RAR}/E5VHw0M.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\Млад шее звено.rar/{RAR}/A2f0Pb6.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\Сред нее звено.rar/{RAR}/mnRt5GT.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\фото интеллект[1]. игр.rar/{RAR}/rpF6o74.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\Install\CDex_Rus.rar/{RAR}/vGA023S.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\Install\Логотип\Эмблема Наско.rar/{RAR}/nS7dx5T.exe

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Удалите программу STOPzilla, судя по скриншоту "логает" именно она.

    2. Удалите программу Bonjour.

    3. Запустите AVZ, откройте "Менеджер Active Setup" и удалите строчки с упоминанием следующих файлов:
    C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe
    C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
    C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe
    C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe
    (они будут черного цвета в отличие от остальных - зеленых).

    4. Обратите внимание на это:
    F:\Евгений\EugenyWEB\PortalUMC\Schools\12\Сайт школы №12.rar/{RAR}/r67pS02.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\EugenyWEB\PortalUMC\Schools\Guo\21_03_0 6\мо рф.rar/{RAR}/E5VHw0M.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\Млад шее звено.rar/{RAR}/A2f0Pb6.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\Сред нее звено.rar/{RAR}/mnRt5GT.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\EugenyWEB\PortalUMC\Schools\Vunder\фото интеллект[1]. игр.rar/{RAR}/rpF6o74.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\Install\CDex_Rus.rar/{RAR}/vGA023S.exe >>>>> Email-Worm.Win32.Glowa.h
    F:\Евгений\Install\Логотип\Эмблема Наско.rar/{RAR}/nS7dx5T.exe >>>>> Email-Worm.Win32.Glowa.h
    Архивы содержат вредоносную программу, так что лучше их удалить. Если они на самом деле очень нужны, их надо пролечить. В этом поможет следующий пункт...

    5. Установите себе нормальный антивирус.

    6. Установите SP3 + последующие обновления.
    Последний раз редактировалось Bratez; 20.02.2009 в 11:17.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    26
    Вес репутации
    33
    кроме выше перчисленного ещё Ц.У. будут ?? что в логах проблемы есть ?? просто компик в сети видно ... а доступа по прежнему к нему нет...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\dtqfag.pif','');
     QuarantineFile('C:\Documents and Settings\ЛИРА\Рабочий стол\eclips\toto.pif','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
    end.
    Пришлите новый карантин по правилам.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    11.02.2009
    Сообщений
    26
    Вес репутации
    33
    арантин отправил.... все сделал по пунктам... кроме антивируса и обновлений...сейчас этим займусЬ... но доступа по прежнему нет...
    в чем может быть ещё проблема...

    Файл сохранён как090220_114842_virus_499e6e6aeca3b.zipРазмер файла5058587MD557bb6d61185193c713b8d37d2684b1af

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    C:\WINDOWS\dtqfag.pif = Worm.Win32.Feebs.lu

    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     ClearQuarantine;
     DeleteFile('C:\WINDOWS\dtqfag.pif');
     BC_DeleteFile('C:\WINDOWS\dtqfag.pif');
    BC_Activate;
    end.
    Хотя проблему это не решит.
    Решить такую проблему можно вводом компьютера в домен (если он у вас есть).

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\dtqfag.pif - Worm.Win32.Feebs.lu (DrWEB: Win32.HLLM.Graz.based)


  • Уважаемый(ая) eclips_red, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Серьёзная проблема
      От Роман333111 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.07.2012, 09:16
    2. Серьёзная проблема...
      От NighT56 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 05.11.2010, 13:41
    3. Серьёзный вирус
      От masusik в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 29.09.2010, 05:36
    4. Это серьёзно
      От San614 в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 12.11.2008, 14:35
    5. Серьёзная проблема
      От Лизин александр в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 28.10.2008, 21:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00144 seconds with 16 queries