Показано с 1 по 9 из 9.

Пипец котёнку? Курент выключает ПЭВМ. (заявка № 42006)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Kacnep
    Регистрация
    28.04.2007
    Адрес
    Микронезия (Федеративные Штаты Микронезии)г. Паликир, Слева от упавшей пальмы,ул Нурикийская 1 кв.13
    Сообщений
    697
    Вес репутации
    194

    Thumbs up Пипец котёнку? Курент выключает ПЭВМ.

    Здравствуйте.
    Ситуация следующия:
    Имеем сервер 2003 R2 все дела к нему(обновления, т.к. лицензионный). На машине не имеем ни одного антивируса(не считаем "Защитника Windows" [он говорит что всё о'кей парни]) У нас есть в рабочим состоянии AVZ(под другим именим) и HijackThis(под своим) которые слава Богу работают. Есть ещё курент(с изменённым именем)+Dr.Web LiveCD(как есть) и "аварийный" диск каспера(как есть).
    Вижу в диспечере задач mshta.учу иду на страницу как это чудо личить http://ццц.viruslist.com/ru/viruses/...virusid=141073
    лечу. Я же крутой лекарь, кого хошь залечу.Лечу как там сказано. Но ветки как сказанно нет ([HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]
    "load"="%System%\ssms.exe"). Есть похожии ветви, только в конце mshta.exe ну я добрая душа их удаляю.
    Дальше загружаю свежий курент и начинаю проверять. Он мне проверяет, проверяет и тут БАЦ ЭВМ выключаеться. Думаю, опять Чубайс виноват. Рядом меня не было, другими ЭВМ занимался. Поставил сново... И стал пить чай с лимоном посматривая на монитор... БАЦ сново отключился ЭВМ, вот блин"ёжик в тумане"... Успел заметить что отключился при проверке корня папки Виндоуз. Перекрестился, свят, свят, свят, показалось. И заново включил проверку в аварийном режиме. И опять при проверке курентом ЭВМ выключился. Ааа, думаю, блокируют моего другана доктора "пепера" (причём с изменённым именем на "kaka.com"[прости Игорь])
    Ладно думаю, нужна тяжёлая артерерия. Загрузился аварийным диском каспера... Но он дисков моих не нашёл, только память..."я прошу хоть не надолго, грусть моя ты покинь меня")Ладно...Мыж парни крепкие, возмём аварийный доктор вебер. Не... но молодец , диски увидел, уже класс! Сразу отрываю проверку на диске C:\вин* ну вы поняли... И из под этого режима ЭВМ не выключалась, она просто зависала при проверке папки с установленной виндовс..
    Вообщем всё по правилам логи прилагаю:В карантине тож есть немного файла, скажите, добавлю.
    Остальное не помещается. (

    Здравствуйте.
    Загрузил карантин от 2009-03-18:
    Файл090319_003443_virus_49c168f315ba9.zip
    Файл сохранён как 090319_003959_2virus_49c16a2faf435.zip
    Размер файла 1554269
    MD5 640c0960ab063e6902fe7209cbca10bc
    файла[/B]3912884

    MD5
    e52ee97ccd5b69f35f2fa831259fc169
    А это карантин что сделали 2009-02-27:
    Файл 090319_003959_2virus_49c16a2faf435.zip
    файл 1554269
    MD5 640c0960ab063e6902fe7209cbca10bc

    Добавлено через 10 часов 3 минуты

    Здравствуйте.
    Пробую скопировать файл mshta.exe, в карантин. АВЗ пишит, что без ошибок спокойно скопировал, но в карантине файла нет. В реестре выдаёт:

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache]
    "C:\WINDOWS\system32\mshta.exe"=""
    [HKEY_USERS\S-1-5-21-3147594744-3354603871-2254781607-500\Software\Microsoft\Windows\ShellNoRoam\MUICach e]
    "C:\WINDOWS\system32\mshta.exe"=""
    скопировал его вручную и упаковал с паролем virus. высылаю.
    Файл 090319_104710_virus3_49c1f87eda2df.zip
    Размер файла 15675
    MD5 dd44b2f666b50a7e0c188f4e85366855


    Ещё в журнале Просмотр событий/приложения пишит иногда
    "Политика безопасности в объектах групповой политики успешно применена.
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp"."
    а потом часто пишит:
    'Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена.
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp"."

    выкидывает бухгалтеров из 1С иногда..., а иногда часто.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 19.03.2009 в 11:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    famitrf2.exe_ - Email-Worm.Win32.Banwarum.t,
    famitrfc.exe_ - Email-Worm.Win32.Banwarum.u

    New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

    fnprinters.com_, mpengine.dll, RCursor.dll, rserver3.exe_, r_sui.dll, WinLpcDl.dll, WinLpcDl2.dll

    No malicious code were found in these files.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Kacnep
    Регистрация
    28.04.2007
    Адрес
    Микронезия (Федеративные Штаты Микронезии)г. Паликир, Слева от упавшей пальмы,ул Нурикийская 1 кв.13
    Сообщений
    697
    Вес репутации
    194
    Здравствуйте.
    Так что мне дальше то делать? Зверь так и живёт у меня. Тихо гадя...

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Это какой-то кусок от радмина. Famitrfc.exe очевидно порожден rserver3 http://www.radmin.ru/support/forum/r..._1=3&TID=10518

    Пока не надо ничего удалять! Напишем в вир. лаб. ЛК, чтобы еще раз все перепроверили.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Kacnep
    Регистрация
    28.04.2007
    Адрес
    Микронезия (Федеративные Штаты Микронезии)г. Паликир, Слева от упавшей пальмы,ул Нурикийская 1 кв.13
    Сообщений
    697
    Вес репутации
    194
    О горе мне.
    Я без раадмина как калека на один глаз и руку.
    Специально для него выбивал лицензии, для ся.
    Лан, будем ждать. Специально ни чего не лечу на этой машине пока, бум надеяться время терпит.
    Последний раз редактировалось Kacnep; 20.03.2009 в 12:36. Причина: Поднять рейтинг. :)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Kacnep
    Регистрация
    28.04.2007
    Адрес
    Микронезия (Федеративные Штаты Микронезии)г. Паликир, Слева от упавшей пальмы,ул Нурикийская 1 кв.13
    Сообщений
    697
    Вес репутации
    194
    Пока всё тихо, на счёт моего коня бестолкового?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    2 файла, которые ЛК заподозрил, чисты.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Kacnep
    Регистрация
    28.04.2007
    Адрес
    Микронезия (Федеративные Штаты Микронезии)г. Паликир, Слева от упавшей пальмы,ул Нурикийская 1 кв.13
    Сообщений
    697
    Вес репутации
    194
    Спасибо. Уничтожаем животину? Правельный скрипт подскажите? Он же у меня так и "тусуеться" на ПК. Хотите заново логи сделаю.Хотя с последних логов ни чего не менял и не лечил.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\rserver30\famitrfc.exe - Email-Worm.Win32.Banwarum.u
      2. c:\windows\system32\rserver30\famitrf2.exe - Email-Worm.Win32.Banwarum.t


  • Уважаемый(ая) Kacnep, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. это пипец който(
      От F@ust в разделе Microsoft Windows
      Ответов: 4
      Последнее сообщение: 29.04.2009, 14:56
    2. Пипец((( ПОМОГИТЕ!!!!
      От Маруся в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.03.2009, 23:43
    3. сам выключается
      От ярослав в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.01.2009, 03:24
    4. Пипец какие хитропопые вири!
      От Rick1 в разделе Помогите!
      Ответов: 42
      Последнее сообщение: 07.06.2008, 16:33
    5. Ответов: 8
      Последнее сообщение: 18.01.2008, 11:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01349 seconds with 17 queries