Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

super.zavan.info и прочая нечисть (заявка № 47778)

  1. #1
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32

    Thumbs up super.zavan.info и прочая нечисть

    Буэнос Диас господа. У меня сегодня произошла такая проблема: внезапно, после проверки антивирусом локального диска "С:\" появились окошки с предупреждениями о вирусах. Нод требовал перезагрузить компьютер, что я и сделал, но после него окна появляться не перестали, а наоборот, участились. До такой степени, что компьютер стал подлагивать и зависать.
    В диспетчере задач появился процесс J002, который я удалил, причем он появился в 2-х экземплярах сразу)
    Я вначале посмотрел данную тему:
    http://virusinfo.info/showthread.php?t=47722
    но, к сожалению, данные там советы мне не помогли, сообщения все равно выскакивают с завидной частотой.
    Не знаю, связано это или нет, но перед этим у меня пару раз останавливалась служба ICS, которая связана каким-то образом с брандауэром и не давала соединяться с интернетом. Служба, не смотря на все мои попытки, не запускалась. Восстановление систему спасало.
    Вот такая вот ситуация . taskettee...onegai
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\smbsvc.dll','');
     QuarantineFile('C:\WINDOWS\Temp\HTT2E3.tmp','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Vsp.sys','');
     QuarantineFile('C:\WINDOWS\system32\htkhg.exe','');
     StopService('sdtbns Service');
     StopService('hongyang');
     TerminateProcessByName('c:\windows\system32\qxl6oxgum\j002.exe');
     TerminateProcessByName('c:\windows\system32\psn0q5skh\j002.exe');
     QuarantineFile('c:\windows\system32\psn0q5skh\j002.exe','');
     QuarantineFile('c:\windows\system32\qxl6oxgum\j002.exe','');
     DeleteFile('c:\windows\system32\qxl6oxgum\j002.exe');
     DeleteFile('c:\windows\system32\psn0q5skh\j002.exe');
     DeleteFile('C:\WINDOWS\system32\htkhg.exe');
     DeleteFile('C:\WINDOWS\Temp\HTT2E3.tmp');
     DeleteFile('C:\WINDOWS\system32\smbsvc.dll');
      DeleteFileMask('c:\windows\system32\psn0q5skh\', '*.*', true);
      DeleteFileMask('c:\windows\system32\qxl6oxgum\', '*.*', true);
    BC_Importall;
     BC_DeleteSvc('hongyang');
     BC_DeleteSvc('htkhg');
     BC_DeleteSvc('sdtbns Service');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=47778

    Обновите базы AVZ! (файл- обновление баз).
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    Базы-обновил, скрипт-выполнил, логи-отправляю,карантин-отослал.
    С карантином что-то не то. Посмотрев логи нода, искал,как было написано в правилах, но в логах антивируса около 20 фалов 5788 раскиданных по папке sistem32 в нескольких директориях, например "C:\WINDOWS\system32\85WWEUOFH\5788.exe" , а найден был всего один.
    Чаще других появляется super.zavan.info/Library/Scanner.dll, уже около 200 раз показался(

    Файл сохранён как 090612_235645_virus_4a32b2fdae185.zip
    Размер файла 693564
    MD5 f883696c8b1237a65cce93568142c220

    забыл, вот карантин)
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 13.06.2009 в 21:40.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ClearQuarantine;
    DeleteFile('C:\WINDOWS\system32\smbsvc.dll');
    QuarantineFile('C:\WINDOWS\system32\P8WZPRYOL\5788.exe','');
    DeleteFile('C:\WINDOWS\system32\P8WZPRYOL\5788.exe');
    DeleteFile('C:\WINDOWS\system32\htkhg.exe');
     QuarantineFile('c:\windows\system32\mscotry.dll','');
     BC_DeleteSvc('sdtbns Service');
     DeleteFile('c:\windows\system32\x5v6ug2q3\j002.exe');
     DeleteFile('C:\WINDOWS\system32\X5V6UG2Q3\J002.exe');
     DeleteFile('c:\windows\system32\mscotry.dll');
    BC_ImportDeletedList;
    BC_Activate;
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Скачайте файл http://narod.ru/disk/9487011000/avz-poly.exe.html (это более свежая версия AVZ, но в ней не обновляются базы).
    Сохраните в отдельную папку и выполните 2-й стандартный скрипт.
    Файл с результатами (virusinfo_syscheck.zip) приложите к теме.

  6. #5
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    что-то случилось нехорошее, т.к. после применения скрипта, который вы написали, у меня рассоединяется интернет каждую минуту. Не могу из-за этого прислать карантин скачать файл. Что делать?

    Добавлено через 1 минуту

    +постоянно идет исходящий трафик
    Последний раз редактировалось Baka-kun; 13.06.2009 в 21:20. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Брандмауэр Windows включите.
    Новый AVZ тогда не качайте.
    Сделайте в старом AVZ лог из пункта 2 Диагностики и приложите к этой теме.

  8. #7
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    попытался включить брандмауэр, но: панель управления -> Бранмауэр Windows нажимаю, он пишет мне, что "Вследствие неопределенной ошибки не удаётся отобразить параметры брандмауэра Windows". Что примечательно, перезагрузив компьютер, я увидел, что брандауэр включен, но, при нажатии на ту же клавишу выдавалась та же самая ошибка. Псомотрев снова на его состояние, увидел, что брандмауэр выключен, и включить его не удаётся. Хочу напомнить, что и раньше возникала ошибка с ICS, но восстановление системы спасало. После данного вами скрипта сообщения о вирусах появляться перестали, но интернет стал вот таким.
    Сейчас постараюсь прикрепить лог.

  9. #8
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    вот


    удалось закачать карантин. Соединение вроде устаканилось. Брандмауэр не работает.

    Файл сохранён как 090613_231414_virus_4a33fa86dbebf.zip
    Размер файла 398478
    MD5 ce49b97536047fe7f514d455bad43046
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Похоже, компьютер перезаражается по сети через некую уязвимость.
    Отключите в свойствах подключения к сети Клиент для сетей Microsoft и Службу доступа к файлам.
    Установите надежные пароли на учетные записи пользователей с правами администратора.

  11. #10
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    сейчас сделаю. Я скачал поли-авз. Выполнить второй стандартный скрипт?
    надежные пароли-это в смысле около 12 символов?
    Последний раз редактировалось Baka-kun; 13.06.2009 в 22:33.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    ...состоящие из букв (не только латинских и в разных регистрах), цифр и специальных символов.

  13. #12
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    сделал. Выключил, включил интернет, ситуация та же - идут сбои. Первые минут 5-10 меня выкидывает, потом стабилизируется

    Добавлено через 49 минут

    а что еще можно сделать? скачет соединение ужасно
    Последний раз редактировалось Baka-kun; 13.06.2009 в 23:46. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Похоже, это у Вас работает BackDoor.Darkshell.71 по ДрВебу.
    \windows\system32\duba.exe infected with BackDoor.Darkshell.71 - deleted
    Получает инструкции с 60.173.10.139, в данное время ддосит адрес 222.189.228.9
    трафик действительно генерит бешеный, потому соединение и скачет.

    Добавлено через 21 минуту

    Вообще-то в Правилах есть это:
    2. Проверьте компьютер с помощью AVPTool или CureIt! в безопасном режиме. К найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять. После этого перезагрузитесь в обычный режим.

    Выполнение этого пункта уже помогло бы Вам. Совершенно напрасно не выполнили.
    Последний раз редактировалось Alexey P.; 14.06.2009 в 01:29. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    я проверял позавчера, он действительно находил несколько ,БэкДор-ов, то что мог, лечил, то что нет- удалял. сегодня попробую заново

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Очень возможно, что Andreyka прав:
    Похоже, компьютер перезаражается по сети через некую уязвимость.
    Заткните дыры - ставьте сервис-пак 3 и заплатки после него, особенно те, что упомянуты в статье про Кидо . Смотрите там ссылки на "патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001".

    Добавлено через 4 минуты

    Думаю, эти три заплатки могут помочь и без sp3, их стоило бы поставить в первую очередь.
    Последний раз редактировалось Alexey P.; 14.06.2009 в 14:17. Причина: Добавлено

  17. #16
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    Патчи установил. Компьютер проверил. Нашел 205 вирусов. Все удалились. Ни один не вылечился. Теперь вроде трафик не поедается, но в процессах до сих пор висит J002. Брандмауэр-работать не желает. Может, поставить Comodo?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Comodo попробовать можно.
    А мне, всё таки, любопытно взглянуть на лог новой AVZ (ccылка в сообщении #4).

  19. #18
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    любопытство-не порок) прикрепляю второй скрипт, "сбор информации")
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     BC_DeleteSvc('stp Service');
     BC_DeleteSvc('PctaSvc');
     QuarantineFile('c:\windows\system32\rnmwtvc.dll','');
     QuarantineFile('c:\windows\system32\ailqjiypu\j002.exe','');
     DeleteFile('c:\windows\system32\ailqjiypu\j002.exe');
     DeleteFile('c:\windows\system32\rnmwtvc.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaSerial\Parameters','ServiceDll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

    По внешним проявлениям на Kido похож.

  21. #20
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    13
    Вес репутации
    32
    Сделано, сэр. Карантин прислал.

    Файл сохранён как 090614_230507_virus_4a3549e3d661e.zip
    Размер файла 61863
    MD5 5f36251b068e7699319f1d7cce6b7f01

    В настройках Комодо запретил J002 подключение к интернету.
    Видимо, он ушел по английски, не попрощавшись, т.к. в процессах найден мною не был)
    Вложения Вложения

  • Уважаемый(ая) Baka-kun, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. super.rar
      От Taganchik в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.01.2010, 17:56
    2. fake antivirus program super pro
      От Melouise в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 30.11.2009, 00:45
    3. SUPER © v2008.build.25 от eRightSoft и Dr.Web
      От SuperBrat в разделе Ложные срабатывания
      Ответов: 2
      Последнее сообщение: 28.02.2008, 18:27
    4. NOKIA N73!!! super mobila
      От spitamen в разделе Лечение и защита мобильных устройств
      Ответов: 1
      Последнее сообщение: 14.07.2006, 07:31
    5. supermenuhook от Super Logix
      От Dark_Blaze в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 16.05.2006, 18:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01457 seconds with 17 queries