Показано с 1 по 18 из 18.

вирус PC_Antispyware2010 (заявка № 52988)

  1. #1
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58

    Thumbs up вирус PC_Antispyware2010

    появился вирус PC_Antispyware2010
    загрузиться смог только с виртуал сиди
    даю логи
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Логи с загрузочного CD не интересны.
    В чем проблема загрузить компьютер?

  4. #3
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Логи с загрузочного CD не интересны.
    В чем проблема загрузить компьютер?
    это полноценные логи с винды.. от оригинала они почти не отличаются

    в том что либо оно недает запустить авз либо блюскрин

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от nbserg Посмотреть сообщение
    это полноценные логи с винды.. от оригинала они почти не отличаются
    Вы должны сделать логи, запустив систему, котрую нужно лечить. Логи, сделанные с Live CD показывают проблемы системы на Live CD
    Platform: Windows XP (WinNT 5.01.2600)
    Это где - на диске или на Live CD?


    -Пофиксите:
    Код:
    O4 - HKLM\..\Run: [mset] C:\WINDOWS\system32\mset.exe
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O20 - AppInit_DLLs: cru629.dat
    C:\WINDOWS\system32\mset.exe
    C:\WINDOWS\system32\regedit.exe
    Скопируйте куда-нибудь, потом пришлете нам.
    Файлы из C:\WINDOWS\system32 удалите.

  6. #5
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58
    получилось только переименовав авз на 321
    а вот хайджек не получилось запустить. даже переименовавши
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    QuarantineFile('cru629.dat','');
    DeleteFile('cru629.dat');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\srv.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Загрузите компьютер в Нормальном режиме.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Сделайте новые логи AVZ и приложите к этой теме.

  8. #7
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58
    вот логи хайджек всеравно не запускается


    запустил переименов его в 123.bat

    хм...
    вру...
    не только переименовал а еще и кинул в др папку хайджек...
    иначе не запускалась.. видать проверка даже на папку стоит
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 26.08.2009 в 20:12.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Скачайте свежий CureIt и пролечите им компьютер.

  10. #9
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58
    не все так просто в датском королевстве...
    вылетает блюскрин при запуске кура...
    приходится с виртуал сиди запускать

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Я бы посоветовал отослать в техподдержку Dr.Web дамп одного такого падения. Полезно для выяснения причин и ловли новой заразы - если это руткит мешает.

  12. #11
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58
    Цитата Сообщение от pig Посмотреть сообщение
    Я бы посоветовал отослать в техподдержку Dr.Web дамп одного такого падения. Полезно для выяснения причин и ловли новой заразы - если это руткит мешает.
    а куда дампы сохраняются и куда посылать вебу (детальные ссылки если можно)

    Добавлено через 4 минуты

    я вот поставил кур но думаю что толку мало
    он этих вирусов незнает
    Checking: mset.exe
    Engine version: 5.0.0.12182
    Total virus-finding records: 620331
    File size: 42.50 KB
    File MD5: 3e2f026ca9c2ad2c761552b3c8a8b8f8

    mset.exe packed by FLY-CODE
    >mset.exe - Ok

    в то время как
    http://virusscan.jotti.org/en/scanre...dc3447948d3dc8
    Последний раз редактировалось nbserg; 26.08.2009 в 20:09. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Мой компьютер - Свойства - Дополнительно - Загрузка и восстановление - Параметры
    Настройте систему на создание дампов ядра и посмотрите, где ОНО будет создаваться.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    1. Пофиксить в HiJack
    Код:
     O20 - AppInit_DLLs: cru629.dat
    2. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
    DeleteFile('C:\WINDOWS\system32\cru629.dat');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe','');
     TerminateProcessByName('c:\documents and settings\lena\mset.exe');
     QuarantineFile('c:\documents and settings\lena\mset.exe','');
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     QuarantineFile('c:\windows\system32\braviax.exe','');
     TerminateProcessByName('c:\windows\temp\bn22.tmp');
     QuarantineFile('c:\windows\temp\bn22.tmp','');
     TerminateProcessByName('c:\windows\temp\bn20.tmp');
     QuarantineFile('c:\windows\temp\bn20.tmp','');
     DeleteFile('c:\windows\temp\bn20.tmp');
     DeleteFile('c:\windows\temp\bn22.tmp');
     DeleteFile('c:\windows\system32\braviax.exe');
     DeleteFile('c:\documents and settings\lena\mset.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mset');
     DeleteFile('C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    DeleteFileMask('C:\Program Files\PC_Antispyware2010', '*.*', true);
    DeleteDirectory('C:\Program Files\PC_Antispyware2010');
    DeleteFileMask('%Tmp%', '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    3. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    4.
    Код:
    C:\WINDOWS\system32\Drivers\Ntfs.sys
    C:\WINDOWS\System32\Drivers\Beep.SYS
    Заменитьть по этой методике (не из dllcache)

    5. Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58
    поздновато...
    авп тулом уже почти все удалил отправил только
    DeleteFile('c:\windows\temp\bn20.tmp')
    DeleteFile('c:\windows\temp\bn22.tmp')

    завтра буду на работе новые логи делать

  16. #15
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58

    вот логи

    вот новые логи, но по моему все уже ок...
    спасибо вам, и небольшая заметка для себя и вам на заметку вместе с куром предлагать лечить авп тулом http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
    ибо пока что кур этих вирусов невидит а вот тул очень хорошо удаляет
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Чисто.
    DrWeb до сих пор не детектирует только один из присланных вами файл: C:\WINDOWS\system32\mset.exe
    Обновите Adobe Acrobat.

  18. #17
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    58
    в том то и дело что из присланых
    авп тул удалил около 30 файлов (около 15-16 1н и тот же вирус остальные еще вируса 3 разных) которые не нашел кур... к сожалению архивы их я не сохранил

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\cru629.dat - Backdoor.Win32.Small.ejx ( DrWEB: Trojan.Proxy.1739, BitDefender: Trojan.Generic.343897, NOD32: Win32/Small.EJX trojan, AVAST4: Win32:Trojan-gen {Other} )
      2. c:\windows\system32\cru629.dat - Backdoor.Win32.Small.ejx ( DrWEB: Trojan.Proxy.1739, BitDefender: Trojan.Generic.343897, NOD32: Win32/Small.EJX trojan, AVAST4: Win32:Trojan-gen {Other} )
      3. c:\windows\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.igv ( DrWEB: Trojan.NtRootKit.3206, BitDefender: Generic.Malware.P!.BFF14990, AVAST4: Win32:FakeAV-NO [Rtk] )
      4. c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen, AVAST4: Win32:Cutwail-Y [Trj] )
      5. \mset.exe - Trojan-Downloader.Win32.Mutant.ejt ( AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) nbserg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. PC_Antispyware2010, помогите, не могу избавиться.
      От Kir36 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.09.2009, 16:25
    2. braviax.exe, PC_Antispyware2010 и другие
      От Lussie в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 18.08.2009, 22:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00650 seconds with 20 queries