Показано с 1 по 14 из 14.

был reader_s.exe, ndis.sys,.. увеличивается размер exe-файлов, ломится в инет *.tmp (заявка № 49162)

  1. #1
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    8
    Вес репутации
    32

    Exclamation был reader_s.exe, ndis.sys,.. увеличивается размер exe-файлов, ломится в инет *.tmp

    Здравствуйте!

    обращаюсь к вам, т.к. сама не смогла ничего сделать. попробую написать "кратко" ))
    в сеть выхожу со здоровой машины.

    на зараженном компе две винды, XP SP2 и 2000 SP4, заражены теперь обе. отключен физически от сети, антивируса и фаервола не стояло. началось с xp, ее и прошу помочь вылечить.

    Началось неск. дней назад - подозрительная активность соединения с инетом (постоянно чето качает в обе стороны), отрубился qip и daemon tools.
    После того как сразу вылечить не удалось - после перезагрузки и выхода все появлялось - tmp файлы в c:\windows\system32, опять начинало качать и через некоторое время опять видели в процессах reader_s.exe...
    Отрубила сеть, посмотрела процессы: reader_s.exe висит и разные tmp файлы. Начиталась форум, решила в безопасном режиме все диски CureIt-ом просканить, лог есть. Там вирусы типа trojan.download и trojan.packed разные цифры, еще кажется spambot, и главное файл ndis.sys - ntrootkit.2912
    Дальше не помню что тока не делала... :) сеть пропала (решила что из-за удаления ndis.sys), положила чистый ndis.sys, винда перегружалась не доходя до ввода пароля пользователя (в безопасном режиме тоже). в конце концов стала падать в синий экран (и в безопасном тоже) с ошибкой в ntoskrnl.exe
    Пока копировала все эти файлы из под 2000 виндовса, в нем тоже начались симптомы.
    Папа переставил xp поверх, - с восстановлением системных файлов и с сохранением всех пользовательских настроек и программ. не помогло. да, еще не знали симптомов, avz и cureit говорили все чисто, temp папки были чисты, файлов не было, в реестре ссылок на reader_s не было, - поэтому думали все в порядке, поставили фаервол agnitum. Только подключили сеть сразу появились tmp файлы в system32 и захотели выйти через svchost.exe, после запрета - нечто попыталось завершить службу аутпоста. в процессах - куча cmd.exe и svchost.exe..
    сделали откат, не помогло:)


    на текущий момент: сеть физически отключена, фактически все дрова на месте. все темповые папки очищены, файлов нету, ничего не возникает, Cureit ничгео не находит, avz тоже. Что настораживает - если откуда нибудь (флэш, cd) копировать Exe файлы на комп, то они увеличиваются в размере на ~14кб, после чего avz.exe сообщает что его контрольнам сумма не совпадает.
    поэтому я все со здоровой машины записываю на cd и там запускаю. еще копирую как .pif, тоже помогает.
    в 2000 тоже самое. Если щас подключиться к инету - опять начнется по новой. прямо какойто "спящий режим" )

    Простите что так много написала...
    прилагаю стандартные логи, что можно сделать? Спасибо!
    среди программ есть для блютуса и ик порта (нокиа)

    Еще есть (начитавшись форума) логи gmer, vba32Arkit, скачала rootkit unhooker но не знаю какую именно надо страницу в лог.
    Вложения Вложения
    Последний раз редактировалось e11e; 02.07.2009 в 16:05. Причина: убрал лишнее вложение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('msansspc.dll','');
     QuarantineFile('C:\DOCUME~1\Jarwin\LOCALS~1\Temp\aujasnkj.sys','');
     DeleteFile('C:\DOCUME~1\Jarwin\LOCALS~1\Temp\aujasnkj.sys');
     DeleteFile('msansspc.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('Spoolerseclogon');
     BC_DeleteSvc('SpoolerRemoteAccess');
     BC_DeleteSvc('SamSsAlerter');
     BC_DeleteSvc('ProtectedStorageBrowser');
     BC_DeleteSvc('EventlogEventSystem');
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика) + лог gmer.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    8
    Вес репутации
    32
    отключила восстановление, выполнила скрипт, без ошибок.
    вот новые логи.

    лог gmer будет очень попозже - в прошлый раз 2 часа шел только диск С, а там забиты все диски (6 логических), я отрубила тогда. ну, подождем. спасибо!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от e11e Посмотреть сообщение
    лог gmer будет очень попозже - в прошлый раз 2 часа шел только диск С
    Делайте только С:.

    Добавлено через 4 минуты

    Пардон, при первом прочтении не обратил внимание:
    если откуда нибудь (флэш, cd) копировать Exe файлы на комп, то они увеличиваются в размере на ~14кб, после чего avz.exe сообщает что его контрольнам сумма не совпадает.
    Пришлите по правилам пару таких файлов
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=49162).
    Последний раз редактировалось Bratez; 02.07.2009 в 16:36. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    8
    Вес репутации
    32
    Файл сохранён как 090702_174424_modif_exe_4a4cb9b83d8ca.zip
    Размер файла 949253
    MD5 47b3cdfa14f97c9319639ff845dab58e

    послала. как раз парочку - avz и hijack увеличенные.
    gmer в работе...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    У вас файловый вирус, скорее всего вирут.

  8. #7
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    8
    Вес репутации
    32
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    У вас файловый вирус, скорее всего вирут.
    ...это я уже давно подозреваю... )
    а что же делать?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Запишите авп тул на cd и пролечитесь им.
    А потом будем долечивать то, что он накачал. Придется эндис снова удалять и чистый ставить.

  10. #9
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    8
    Вес репутации
    32
    да, щас попробуем все диски прогнать авп тул.
    лог gmer прилагаю - правда он не до конца дошел, остановила, вначале много понаписал..
    пока что полечусь. вдруг все пройдет..)
    Спасибо вам!
    Вложения Вложения
    • Тип файла: log gmer.log (66.9 Кб, 5 просмотров)

  11. #10
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    8
    Вес репутации
    32
    "пролечила" - 5 с половиной часов в работе. 3225 зараженных Virut.ce файлов, других вирусов не было. видимо их раньше убило.
    сказало что вылечило, системные - будут вылечены после перезагрузки. после перезагрузки симптомы все теже. (восстановление точно отключено) по прежнему заражено. жаль.
    ))

    загрузилась с BartPE и оттуда скан по системному диску.
    ________
    добила хорошо что все опять не позаражались только 4 системных, те что avptool не смог сразу. но зато он все вылечил

    Проблем вроде больше нет. Спаси вас Господи за поддержку )
    Последний раз редактировалось e11e; 03.07.2009 в 02:11.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Сделайте контрольные логи.

  13. #12
    Junior Member Репутация
    Регистрация
    02.07.2009
    Сообщений
    8
    Вес репутации
    32
    Да, вот они


    и еще такой вопрос - тепер ьвсе системные файлы, которые были вылеченаы - ен проходят по контрольной сумме, ну и дата изменилась. стоит ли сделать sfc /scanonce ? или так можно жить))
    Вложения Вложения
    Последний раз редактировалось e11e; 03.07.2009 в 11:50.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Да, для надежности есть смысл сделать SFC /SCANNOW или просто накатить систему "поверх". Если есть возможность использовать дистрибутив с интегрированным SP3 - накатите его, сразу двух зайцев убьете. Ну и последующие обновления потом очень рекомендуется поставить.
    I am not young enough to know everything...

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. \avz.exe - Virus.Win32.Virut.ce
      2. \hijackthis.exe - Virus.Win32.Virut.ce


  • Уважаемый(ая) e11e, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 27.04.2010, 19:01
    2. Увеличивается файл подкачки
      От sidex в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 31.03.2010, 13:19
    3. Ответов: 4
      Последнее сообщение: 12.10.2009, 18:03
    4. Увеличивается файл подкачки
      От Xelatower в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.09.2009, 18:51
    5. резко увеличивается траффик
      От Регина в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.11.2008, 18:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00562 seconds with 17 queries