Показано с 1 по 16 из 16.

Прошу помочь с лечением компьютера (заявка № 54702)

  1. #1
    Junior Member Репутация
    Регистрация
    14.09.2009
    Сообщений
    10
    Вес репутации
    54

    Exclamation Прошу помочь с лечением компьютера

    При отключении фаерволла выдается сообщение, что svhost по адресу Х произвел запись по тому же адресу и память не может быть written. Проверка антивирусами (Нод и Касперский по очереди) показала, что есть вирусы - троян SdBot и червь Palevo.jpa.
    Еще Каспер нашел вот это:
    Обнаружено вредоносная ссылка http:// 94.76.194.116/j.exe
    Обнаружено вредоносная ссылка http:// 94.76.194.116/xx13.exe
    Обнаружено вредоносная ссылка http:// h1.ripway.com/a1z/ll.exe
    Обнаружено вредоносная ссылка http:// 89.149.227.51/hom.exe
    После сканирования вроде все вылечено-удалено, но проблема остается (сообщение об ошибке и сбой системы).
    Фаерволл показывает какой-то непонятный постоянный входящий траффик около 30 Кб/с. (ботнет? паранойя? .
    При загрузке компа фаерволл спрашивает разрешения на исходящее соединение от svhost.

    Первый скрипт (лечение/карантин) до конца не выполняется и файл virusinfo_syscure.zip создается нулевого размера, поэтому вкладываю другой архив с файлом virusinfo_syscure.htm
    Вложения Вложения
    Последний раз редактировалось Jekyl; 14.09.2009 в 11:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Jekyl Посмотреть сообщение
    Первый скрипт (лечение/карантин) до конца не выполняется и файл virusinfo_syscure.zip создается нулевого размера, поэтому вкладываю другой архив с файлом virusinfo_syscure.htm
    А откуда другой файл?

    Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    14.09.2009
    Сообщений
    10
    Вес репутации
    54
    virusinfo_syscure1.rar - сам сделал

    Файл сохранён как 090914_121219_virusinfo_files_COMP_4aadfae3356cc.z ip
    Размер файла 24339308
    MD5 d75ddbc169948cfac31f6d95b6f3d5cf

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Установите обновления безопасности на Windows.

  6. #5
    Junior Member Репутация
    Регистрация
    14.09.2009
    Сообщений
    10
    Вес репутации
    54
    Установил

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Помогло от ошибки svсhost?

  8. #7
    Junior Member Репутация
    Регистрация
    14.09.2009
    Сообщений
    10
    Вес репутации
    54
    Нет, все равно (
    И траффик странный все равно есть. Вот что меня беспокоит.

    И идут запросы входящий - исходящий от Microsoft file and print sharing.

    И вот еще:

    14.09.2009 13:09:28 Обнаружено: Backdoor.Win32.SdBot.owb Проводник www.nettopreise.ch/images/ll.exe

    Спасибо, что уделили время)!
    Последний раз редактировалось AndreyKa; 14.09.2009 в 14:15. Причина: деактивация ссылки

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Jekyl Посмотреть сообщение
    И идут запросы входящий - исходящий от Microsoft file and print sharing.
    Это нормально.
    Цитата Сообщение от Jekyl Посмотреть сообщение
    14.09.2009 13:09:28
    Как понимаю, обновления безопасности на Windows тогда еще не были установленны.

  10. #9
    Junior Member Репутация
    Регистрация
    14.09.2009
    Сообщений
    10
    Вес репутации
    54
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Как понимаю, обновления безопасности на Windows тогда еще не были установленны.
    Пардон, да. Теперь установлены, но это все равно не помогло.
    Фаерволл выдает:

    Технические детали попытки вторжения:

    Инъекция приложением: C:\WINDOWS\w7services.exe
    Описание: w7services
    Версия файла:
    Имя программы:
    Версия программы:
    Создан: 2009/9/14, 10:09:04
    Изменён: 2009/9/14, 10:09:03
    Доступ: 2009/9/14, 10:09:04

    Приложение: C:\WINDOWS\w7services.exe
    Описание: w7services
    Версия файла:
    Имя программы:
    Версия программы:
    Создан: 2009/9/14, 10:09:04
    Изменён: 2009/9/14, 10:09:03
    Доступ: 2009/9/14, 10:09:04

    Адрес инъекции: 0x004021F7


    Это происходит каждые несколько секунд.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    C:\WINDOWS\w7services.exe распространяется через дыры в WINDOWS. Так что, либо обновления не установили, либо снова смотрите старые данные.

  12. #11
    Junior Member Репутация
    Регистрация
    14.09.2009
    Сообщений
    10
    Вес репутации
    54
    Да вроде все установлено. Но такие запросы все равно сейчас идут, хоть фаерволл их и блокирует.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  14. #13
    Junior Member Репутация
    Регистрация
    14.09.2009
    Сообщений
    10
    Вес репутации
    54
    При загрузке компа Касперский снова выдает
    14.09.2009 14:44:57 Обнаружено: Backdoor.Win32.SdBot.owb
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\w7services.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-5845075986-0738567775-631303648-9501\mwau.exe','');
     QuarantineFile('c:\dll32.exe','');
     DeleteFile('c:\dll32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-5845075986-0738567775-631303648-9501\mwau.exe');
     DeleteFile('C:\WINDOWS\w7services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  16. #15
    Junior Member Репутация
    Регистрация
    14.09.2009
    Сообщений
    10
    Вес репутации
    54
    Сейчас вроде все в порядке. Огромное вам спасибо.
    Прислать логи и карантин сразу не получилось, неделю отсутствовал.
    Имеет ли сейчас смысл это сделать?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Карантин загрузите. Логи новые, тоже сделать не помешает.

  • Уважаемый(ая) Jekyl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите с лечением компьютера...
      От Dron23 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.12.2011, 17:07
    2. Помогите с лечением компьютера.
      От sergey7791 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.10.2009, 03:31
    3. Прошу помочь удалить вирус с компьютера
      От arxangelsk в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 08:53
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 05:37
    5. Прошу помочь с лечением от trojan.siggen.66
      От melcheor в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.09.2008, 13:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01545 seconds with 20 queries