Показано с 1 по 18 из 18.

Атаковали трояны и еще кто то (заявка № 5092)

  1. #1
    AndjeyP
    Guest

    Unhappy Атаковали трояны и еще кто то

    Недавно подключил и-нет и на тебе Trojan.NtRootKit.61 в Windows\system32\rdriv.sys и как я уже читал в этом форуме не у меня одного такая проблема, но дело в том что я в отличии от других не могу себе позволить переустановить WinXP. Пробовал в безопасном режиме антивирусом - удалил, перезагрузился в нормальном режиме и троян на том же месте и не удаляется. Потом посыпались BackDoor.IRC.Sdbot и еще что-то было но я уже не мог уследить, но они удаляются.
    Пока писал это сообщение появился Trojan.DownLoader.3689 в Windows\system32\dll.exe. Помогите пожайлуста !!!!!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Пришлите, как написано в правилах -
    C:\WINDOWS\win32ssr.exe
    C:\WINDOWS\MSmedia.exe
    c:\windows\system32\mmsvc32.exe
    c:\windows\system32\spools.exe

    После их-же из AVZ Файл-> "Отложенное удаление" выбрать поочереди

    Перезагрузиться.

    Запустите Hijack и пофиксите строки -
    O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
    O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
    O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
    O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

    Перезагрузиться.

    Повторить логи с п. 11 на проверку.
    Последний раз редактировалось RiC; 25.03.2006 в 21:48.

  4. #3
    AndjeyP
    Guest
    Пришлите, как написано в правилах -
    C:\WINDOWS\win32ssr.exe
    C:\WINDOWS\MSmedia.exe
    c:\windows\system32\mmsvc32.exe
    c:\windows\system32\spools.exe
    К сожалению win32ssr.exe направляю после работы AVZ, не до конца прочел правила отправки файлов.
    Не хочет загружать virus.zip говорит не указана ссылка на тему ???? вроде указываю. Что я не так делаю?
    Запустите Hijack и пофиксите строки -
    O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
    O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
    O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
    O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe
    O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
    O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
    - этих двух строк не было
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от AndjeyP
    К сожалению win32ssr.exe направляю после работы AVZ, не до конца прочел правила отправки файлов.
    Не хочет загружать virus.zip говорит не указана ссылка на тему ???? вроде указываю. Что я не так делаю?
    Ссылку нужно указывать в таком виде - http://virusinfo.info/showthread.php?p=69361


    Цитата Сообщение от AndjeyP
    O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
    O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
    - этих двух строк не было
    АВЗ при отложенном удалении при эвристической зачистке убрал.

    Пришлите ещё если найдете -
    bot.exe
    C:\WINDOWS\System32\taskdir.exe
    потом можете их стирать.

    Hijack - пофиксить -
    O4 - HKLM\..\Run: [Windows ASN2 Services] bot.exe
    O4 - HKLM\..\RunServices: [Windows ASN2 Services] bot.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k


    Эту программу сами ставили ? Если не секрет что это ?
    c:\program files\srcc\terra3\server\srccserv.exe
    Если сами не знаеете или пришлите нам, или закачайте на www.virustotal.com и сообщите результаты проверки.

    Надо ещё поправить файл "c:\windows\system32\drivers\etc\hosts" можно блокнотом.
    содержимое эталонного файла -
    Код:
    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    #      102.54.94.97     rhino.acme.com          # source server
    #       38.25.63.10     x.acme.com              # x client host
    
    127.0.0.1       localhost
    остальное - излишки.

    Визуально проблемы ещё есть ?

    Сделайте после всего этого ещё раз логи (с п. 11) на проверку.
    Последний раз редактировалось RiC; 26.03.2006 в 15:48.

  6. #5
    AndjeyP
    Guest
    При копировании в карантин bot.exe выдает следующее:
    C:\Program Files\DrWeb\Антивирусы\avz4\Quarantine\2006-03-26\avz00006.dta инфицирован Win32.HLLW.MyBot.based

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Ну тогда ещё сканером от Web`a каталог c:\Windows проверьте.

  8. #7
    AndjeyP
    Guest
    Результат загрузки
    Ошибка загрузки.
    Не указана ссылка на тему. Должен быть линк на существующую тему на форуме
    Ну никак не хочет

  9. #8
    Geser
    Guest
    Вообще-то тена должна быть указана так:
    http://virusinfo.info/showthread.php?t=5092

  10. #9
    AndjeyP
    Guest
    Эту программу сами ставили ? Если не секрет что это ?
    c:\program files\srcc\terra3\server\srccserv.exe
    ПК ЕГРЗ Т.03.015.07.2, Филиал «ФКЦ «Земля» по ЮФО, 15.07.2005 (Програмный Комплекс Единый Государственный Реестр Земель)
    Вообще-то тена должна быть указана так:
    http://virusinfo.info/showthread.php?t=5092
    Спасибо, все отправлено

    После выполнения всех действий, последняя проверка Web`ом показала отсутствие вирусов, тьфу, тьфу.
    Подскажите какую нибудь ссылку где можно взять информацию о наиболее оптимальных настройках системы с целью защиты от вирусов.
    ЕПРСТ пока писал Spider выдал:
    C:\WINDOWS\system32\eraseme_52417.exe инфицирован BackDoor.IRC.Sdbot.475
    Как защитить систему? Подскажите?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от AndjeyP
    Как защитить систему? Подскажите?
    Сделайте ещё раз логи напроверку и поставьте фаервол - http://virusinfo.info/showthread.php?t=3721 + вот эту заплатку - http://www.microsoft.com/downloads/d...DisplayLang=ru
    Это минимум.

    Но лучше поставить не пиратский Windows + Антивирус + Фаервол + Заплатки безопасности

  12. #11
    AndjeyP
    Guest
    Сделайте ещё раз логи напроверку и поставьте фаервол - http://virusinfo.info/showthread.php?t=3721 + вот эту заплатку - http://www.microsoft.com/downloads/d...DisplayLang=ru
    Спасибо, все сделал. Осталось фаерволом научиться пользоваться
    Хотел поддержать ваш сайт, но боюсь расплачиваться в инете. Подскажите как это сделать безопасно.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от AndjeyP
    Хотел поддержать ваш сайт, но боюсь расплачиваться в инете. Подскажите как это сделать безопасно.
    http://virusinfo.info/showthread.php?t=1739

    Или же не денюжкой, а безопасными файлами

    http://virusinfo.info/index.php?page=upload_clean

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от AndjeyP
    Хотел поддержать ваш сайт, но боюсь расплачиваться в инете. Подскажите как это сделать безопасно.
    или так: http://virusinfo.info/showpost.php?p=50742&postcount=34

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от AndjeyP
    Спасибо, все сделал. Осталось фаерволом научиться пользоваться
    Хотел поддержать ваш сайт, но боюсь расплачиваться в инете. Подскажите как это сделать безопасно.
    Продолжение "банкета"

    Перезагрузится в режиме защиты от сбоев и стереть -
    c:\windows\system32\mmsvc32.exe
    bot.exe

    После в Hijack пофиксить
    O4 - HKLM\..\Run: [Windows ASN2 Services] bot.exe
    O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
    O4 - HKLM\..\RunServices: [Windows ASN2 Services] bot.exe

    + повторить манипуляции с файлом hosts

    Перегрузиться и повторить логи с п. 11 правил.

    Прислать для проверки -
    C:\WINDOWS\system32\NeroCheck.exe
    C:\PROGRA~1\ICQ\ICQNet.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe
    C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    Последний раз редактировалось RiC; 28.03.2006 в 10:21.

  16. #15
    AndjeyP
    Guest
    Так надеялся что все подчистил, что с чистой совестью поехал в командировку. А не тут то было
    В субботу продолжу действовать согласно вашим рекомендациям по проведению "банкета".
    Всем спасибо.

  17. #16
    AndjeyP
    Guest
    Перегрузиться и повторить логи с п. 11 правил.

    Прислать для проверки -
    C:\WINDOWS\system32\NeroCheck.exe
    C:\PROGRA~1\ICQ\ICQNet.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe
    C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\system32\NeroCheck.exe
    C:\PROGRA~1\ICQ\ICQNet.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe

    не хотят добавлятся в карантин, никак!
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от AndjeyP
    не хотят добавлятся в карантин, никак!
    Ну значит действительно чистые и значатся у Олега в базе безопасных.
    В последних логах чисто, ещё проблемы остались ?

  19. #18
    AndjeyP
    Guest
    Вроде все чисто. Антивирусы и фаерволы молчат.
    Спасибо за помощь!

  • Уважаемый(ая) AndjeyP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусы атаковали
      От 1Tseman в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.04.2010, 19:27
    2. Атаковали трояны
      От V_S в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.12.2009, 16:16
    3. Атаковали трояны
      От ARray в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.04.2009, 09:03
    4. СРОЧНО! ВАЖНО! АТАКОВАЛИ!!
      От iexplorer в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.12.2008, 18:06
    5. WarezЫ атаковали!
      От mamaolya в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.10.2006, 09:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01550 seconds with 18 queries