Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Alman, битый hosts (заявка № 43390)

  1. #1
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59

    Thumbs down Alman, битый hosts

    как я понял именно эта машина по сети раскидывала вирус Alman. по запросу могу выслать карантин - куча всего. ДрВеб неоднократно чистил машинку в безопасном и обычном режиме - не помогает
    Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\zyzxjime.dll','');
     QuarantineFile('C:\WINDOWS\system32\yxcschlp.dll','');
     QuarantineFile('C:\WINDOWS\system32\zxmsdwin.dll','');
     DeleteService('eth8023');
     DeleteService('f28907d');
     QuarantineFile('C:\WINDOWS\system32\f28907d.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\eth8023.sys','');
     QuarantineFile('C:\WINDOWS\system32\b71fe93.sys','');
     QuarantineFile('C:\WINDOWS\system32\b1a18a3e.sys','');
     DeleteService('6457aed');
     DeleteService('b71fe93');
     DeleteService('b1a18a3e');
     QuarantineFile('C:\WINDOWS\system32\6457aed.sys','');
     QuarantineFile('C:\WINDOWS\system32\XR5nPhu9.dll','');
     QuarantineFile('C:\WINDOWS\system32\x8RbVCvpMmw.dll','');
     QuarantineFile('C:\WINDOWS\system32\wS0GWMZ.dll','');
     QuarantineFile('C:\WINDOWS\system32\wBJk3Fs8ghs.dll','');
     QuarantineFile('C:\WINDOWS\system32\VAHVqDG3.dll','');
     QuarantineFile('C:\WINDOWS\system32\STG4WdmetW2FP.dll','');
     QuarantineFile('C:\WINDOWS\system32\MGmdqtJZG47.dll','');
     QuarantineFile('C:\WINDOWS\system32\J9mfQxkJ.dll','');
     QuarantineFile('C:\WINDOWS\system32\gggg6sZAbKcD.dll','');
     QuarantineFile('C:\WINDOWS\system32\etGBJk2YCXnM.dll','');
     QuarantineFile('C:\WINDOWS\system32\efc0c52cc1.dll','');
     QuarantineFile('C:\WINDOWS\system32\E4814792.dll','');
     QuarantineFile('C:\WINDOWS\system32\D9C002DD.dll','');
     QuarantineFile('C:\WINDOWS\system32\d7eb91606b0.dll','');
     QuarantineFile('C:\WINDOWS\system32\CCCA2FB9.dll','');
     QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll','');
     QuarantineFile('C:\WINDOWS\system32\a643af61f812.dll','');
     QuarantineFile('C:\WINDOWS\system32\A1A6BC2E.dll','');
     QuarantineFile('C:\WINDOWS\system32\A0C86020.dll','');
     QuarantineFile('C:\WINDOWS\system32\76B9BA7A.dll','');
     QuarantineFile('C:\WINDOWS\system32\704C3595.dll','');
     QuarantineFile('C:\WINDOWS\system32\56BC86C7.dll','');
     QuarantineFile('C:\WINDOWS\system32\3D144530.dll','');
     QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
     DeleteFile('C:\WINDOWS\system32\122B901E.dll');
     DeleteFile('C:\WINDOWS\system32\3D144530.dll');
     DeleteFile('C:\WINDOWS\system32\56BC86C7.dll');
     DeleteFile('C:\WINDOWS\system32\704C3595.dll');
     DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll');
     DeleteFile('C:\WINDOWS\system32\A0C86020.dll');
     DeleteFile('C:\WINDOWS\system32\A1A6BC2E.dll');
     DeleteFile('C:\WINDOWS\system32\a643af61f812.dll');
     DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll');
     DeleteFile('C:\WINDOWS\system32\CCCA2FB9.dll');
     DeleteFile('C:\WINDOWS\system32\d7eb91606b0.dll');
     DeleteFile('C:\WINDOWS\system32\D9C002DD.dll');
     DeleteFile('C:\WINDOWS\system32\E4814792.dll');
     DeleteFile('C:\WINDOWS\system32\efc0c52cc1.dll');
     DeleteFile('C:\WINDOWS\system32\etGBJk2YCXnM.dll');
     DeleteFile('C:\WINDOWS\system32\gggg6sZAbKcD.dll');
     DeleteFile('C:\WINDOWS\system32\J9mfQxkJ.dll');
     DeleteFile('C:\WINDOWS\system32\MGmdqtJZG47.dll');
     DeleteFile('C:\WINDOWS\system32\STG4WdmetW2FP.dll');
     DeleteFile('C:\WINDOWS\system32\VAHVqDG3.dll');
     DeleteFile('C:\WINDOWS\system32\wBJk3Fs8ghs.dll');
     DeleteFile('C:\WINDOWS\system32\wS0GWMZ.dll');
     DeleteFile('C:\WINDOWS\system32\x8RbVCvpMmw.dll');
     DeleteFile('C:\WINDOWS\system32\XR5nPhu9.dll');
     DeleteFile('C:\WINDOWS\system32\6457aed.sys');
     DeleteFile('C:\WINDOWS\system32\b1a18a3e.sys');
     DeleteFile('C:\WINDOWS\system32\b71fe93.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\eth8023.sys');
     DeleteFile('C:\WINDOWS\system32\f28907d.sys');
     DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll');
     DeleteFile('C:\WINDOWS\system32\yxcschlp.dll');
     DeleteFile('C:\WINDOWS\system32\zyzxjime.dll');
     ClearHostsFile;
     ExecuteRepair(9);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43390
    Последний раз редактировалось PavelA; 07.04.2009 в 19:27.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    Авз выдал
    Ошибка Undeclared Identifier: 'Clear Host File' в позиции 73:15
    авз перераспаковал - тот же результат.
    попробовал из безопасного - без результата
    удалил строку - запустил, перегрузил.
    дрвеб продолжает находить Alman. в сеть включать нельзя?
    Последний раз редактировалось Чижъ; 07.04.2009 в 19:15.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Карантин надо присылать ,да и логи новые делать.
    Там слишком много всего было за один раз не управишься.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    понял, ушел делать логи, буду завтра

  7. #6
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    прогнал через AVPTool
    и в обычном, и в безопасном - ошибка svchost, и отсчет обратный времени. что-то еще можно сделать?

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Логи-то получились?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    нет, логине успелись.
    перебивать винду?

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Попробуйте установить SP3 а потом сделать логи...

  11. #10
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    на флешке, принесенной с того компа детектятся
    Win32.HLLW.Autoruner, Win32.Alman.1, Win32.Alman
    Винду еще не переставлял. Если она не восстановима, то надолго ли она нам еще нужна в научных целях?
    Все логи из-под SafeMode с незакрытым окном
    ошибка svchost
    Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Пришли AVZ.exe через карантин и форму загрузки карантина.

    Добавлено через 3 минуты

    Да, и пользуйся AVZ из моей подписи.
    Последний раз редактировалось PavelA; 08.04.2009 в 16:58. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    полчаса мучался, но брать в карантин файл avz.exe он в упор не хотел. даже переименованный. загрузил в архив руками.
    Файл сохранён как 090408_175043_1_49dcabb3d0a19.zip

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    avz - чистый, файлового вируса нет. Это уже неплохо.
    Повтори скрипт из №2 в AVZ скаченной с http://depositfiles.com/files/sutnyhabc
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    скрипт н2 это
    Код:
    skipped...
    ? просто не понятно почему 2 - он всего 1 был

    Добавлено через 4 минуты

    Код:
    http://ifolder.ru/10645842
    - это зеркало?
    депозит не доступен

    Добавлено через 13 минут

    скрипт не запускается, ошибка в том же месте
    Ошибка Undeclared Identifier: 'Clear Host File' в позиции 73:15
    удалил строку - запустил, перегрузился комп.
    сейчас делаю новые логи, симптомы те же:
    Все логи из-под SafeMode с незакрытым окном
    ошибка svchost
    если окно закрыть - выключени компа через минуту.
    Последний раз редактировалось PavelA; 09.04.2009 в 12:27.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    что бы не выключился комп при обратном отчете: пуск - выполнить
    Код:
    shutdown -a
    Включите AVZPM, повторите логи.

  17. #16
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    что бы не выключился комп
    спасибо
    в карантин попадает гадость, определяемая ДрВеб 5.0 как Trojan.PWS.wsgame.10968.
    Если нужен - пришлю.
    Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
    R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: ijdybpaw.dll - {2A698452-C5D8-C584-C256-C264C987C5A2} - C:\WINDOWS\system32\ijdybpaw.dll (file missing)
    O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\system32\yxcschlp.dll (file missing)
    O2 - BHO: oohxebyt.dll - {6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6} - C:\WINDOWS\system32\oohxebyt.dll (file missing)
    O2 - BHO: zxmsdwin.dll - {7A041F13-A111-12A3-B0CF-F99818AA68A7} - C:\WINDOWS\system32\zxmsdwin.dll (file missing)
    O2 - BHO: apsggjba.dll - {7FD45A54-9875-698F-E56E-65102358FDF7} - C:\WINDOWS\system32\apsggjba.dll (file missing)
    O2 - BHO: ypcqghlp.dll - {80AF1289-F140-A140-D012-C1458759FC08} - C:\WINDOWS\system32\ypcqghlp.dll (file missing)
    O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
    O2 - BHO: zyzxjime.dll - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\WINDOWS\system32\zyzxjime.dll (file missing)
    O2 - BHO: hdf453d.dll - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - C:\WINDOWS\system32\hdf453d.dll (file missing)
    O20 - AppInit_DLLs: 01AFE3DC.dll,HBmhly.dll
    O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     DelBHO('{B629FF4F-ACDB-5C90-A098-FACB3456A26B}');
     DelBHO('{AA59145F-315D-BC23-AC1F-145DF81A34AA}');
     DelBHO('{80AF1289-F140-A140-D012-C1458759FC08}');
     DelBHO('{7FD45A54-9875-698F-E56E-65102358FDF7}');
     DelBHO('{7A041F13-A111-12A3-B0CF-F99818AA68A7}');
     DelBHO('{6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6}');
     DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
     DelBHO('{2A698452-C5D8-C584-C256-C264C987C5A2}');
     DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
     DeleteService('HBKernel32');
     DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys');
     DeleteFile('01AFE3DC.dll');
     DeleteFile('122B901E.dll');
     DeleteFile('1FD51F1F.dll');
     DeleteFile('201476D0.dll');
     DeleteFile('29EA67E0.dll');
     DeleteFile('2EF0D734.dll');
     DeleteFile('3D144530.dll');
     DeleteFile('4D023DE9.dll');
     DeleteFile('4FBFD5A4.dll');
     DeleteFile('56BC86C7.dll');
     DeleteFile('5934EA2B.dll');
     DeleteFile('66AFCB56.dll');
     DeleteFile('755D0ED0.dll');
     DeleteFile('950D1600.dll');
     DeleteFile('9CA963CA.dll');
     DeleteFile('A1A6BC2E.dll');
     DeleteFile('A55F538E.dll');
     DeleteFile('B6E23E89.dll');
     DeleteFile('BA7EDF54.dll');
     DeleteFile('C8FFD223.dll');
     DeleteFile('C:\Program Files\Messenger\msgmr.dll');
     DeleteFile('C:\WINDOWS\system32\08223B03.dll');
     DeleteFile('C:\WINDOWS\system32\apsggjba.dll');
     DeleteFile('C:\WINDOWS\system32\hdf453d.dll');
     DeleteFile('C:\WINDOWS\system32\ijdybpaw.dll');
     DeleteFile('C:\WINDOWS\system32\oohxebyt.dll');
     DeleteFile('C:\WINDOWS\system32\ypcqghlp.dll');
     DeleteFile('D9C002DD.dll');
     DeleteFile('DA63E650.dll');
     DeleteFile('DFB3DAC5.dll');
     DeleteFile('E0D39066.dll');
     DeleteFile('E4814792.dll');
     DeleteFile('F8E07BB2.dll');
     DeleteFile('FFAE967F.dll');
     DeleteFile('HBmhly.dll');
     DeleteFile('C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
     DeleteFile('C:\WINDOWS\system32\yxcschlp.dll');
     DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll');
     DeleteFile('C:\WINDOWS\system32\zyzxjime.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('HBKernel32');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    №2 - это мое сообщение в этой теме под этим номером. Скрипт там верный, еще раз проверил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    ошибка осталась, при запуске ИЕ тоже ошибка и он закрывается.
    Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.

  21. #20
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    59
    логи готовы

  • Уважаемый(ая) Чижъ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Alman Troyan.Hosts.4561 Troyan.Carberp.12
      От lavrov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.08.2011, 16:11
    2. win32.alman.b
      От ZAP! в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.11.2009, 00:06
    3. В школы ушел битый Linux
      От ALEX(XX) в разделе Другие новости
      Ответов: 13
      Последнее сообщение: 17.06.2009, 20:01
    4. Win32.Alman
      От ALP в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.11.2008, 17:17
    5. Win32/Alman.nab?
      От SerhiyKa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2008, 12:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00386 seconds with 19 queries