Показано с 1 по 8 из 8.

Гляньте (заявка № 56402)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.01.2009
    Сообщений
    37
    Вес репутации
    80

    Thumbs up Гляньте

    Чужой компьютер принесли на посмотреть. Проверил на вирусы. Нашел. Гляньте, может что осталось.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2503
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделать заново логи после перезагрузки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.01.2009
    Сообщений
    37
    Вес репутации
    80
    Не порадовали. Совсем не порадовали. И дело даже не в том, что нашли вирус. Дело в том, что я этот вирус уже удалял - прогнал CureIt'ом, правда в обычном режиме. Он клятвенно пообещал, что после перезагрузки этот вирус удалит. Restart, смотрю - обещание сдержал, вируса нет! Да и взяться ему просто неоткуда: интернет не подключен, локальной сети нет, флешку вставлял одну единственную, проверенную на рабочей (незавирусованной) машине(файлов на ней мало, видно и автораны и ресиклеры, Shift + Del сразу), ко всему прочему автозапуски на "больной" машине отключены. Показ скрытых файлов у меня везде включен, этот наивный трюк знаю А раз так, то вот и повод для грусти: либо на компе сидит дроппер, либо в АВЗ попала старая информация (сомнительно, я компьютер перезагружал 100%). Других носителей в комп не вставляли, это точно. Как так? Логи делал с запущенными браузерами - вроде Opera и IE8 - на стол должно было попасть все....
    Другой вопрос: на этой машине стоит "убитый" Avast. Толку от него ноль. Хотел снести - удалять традиционным путем не хочет. Видимо хозяева постарались. Как его грамотно снести вместе с драйверами нулевого кольца, сервисами и записями в реестре?
    P.S. Сейчас доступа к "больному" не имею. Логи будут завтра.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,630
    Вес репутации
    1295
    1. Нашли следы вируса в реестре, а не вирус.
    2. http://files.avast.com/files/eng/aswclear.exe

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.01.2009
    Сообщений
    37
    Вес репутации
    80
    ОК. Понятно. Аваст снес. Дополнительно поставил драйвер расширенного мониторинга процессов. Вызывает подозрение драйвер с именем spXX.sys, где XX - две произвольные латинские буквы. Например, в логе Gmer это spum.sys. Файл файловым менеджером не виден. Это что-то невредное? Или это sptd.sys себя так шифрует?
    Другой вопрос: ОС на машине стоит "облагороженная Вистой" WinXP SP2 (терпеть не могу такой изврат!). Можно ли поставить на это "убожество" SP3? Или это приведет к проблемам на уровне ОС из-за подмены системных файлов?
    Новые логи:

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2503
    Или это sptd.sys себя так шифрует? - да, это он. Это модуль в памяти, его на диске нет.

    Обновлять такие сборки можно, но осторожно. Есть варианты, когда СП3 становится нормально.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.01.2009
    Сообщений
    37
    Вес репутации
    80
    Вот поэтому я и не люблю сборки.
    А как насчет логов? Ничего подозрительного?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2503
    В логах плохого не видно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) PavelXT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. гляньте мои логи
      От joniscoolkz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.06.2009, 16:01
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 10:03
    3. Гляньте пож. ссылку
      От valho в разделе Спам и мошенничество в сети
      Ответов: 2
      Последнее сообщение: 22.12.2008, 07:37
    4. гляньте логи
      От morale в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.10.2008, 12:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00247 seconds with 16 queries