-
Junior Member
- Вес репутации
- 53
Packed.Win32.Klone.bj, Win32.HLLW.Autohit.7920 - снова и снова...
На компьютере две системы. После работы в одной из них, предположительно после выхода в интернет, в корне логических дисков возникает autorun.inf и exe-шник с произвольным именем, который иногда детектируется KAV как Packed.Win32.Klone.bj, иногда нет. Для Dr.Web эти файлы всегда Win32.HLLW.Autohit.7920. Там же- файлы khu ,khv,kht нулевой длины. Логи прикрепил. Что-бы это было?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключисте восстановление системы!
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\Documents and Settings\masha\DoctorWeb\Quarantine\xxnonp.exe','');
QuarantineFile('F:\WINDOWS\system32\winsys2.exe','');
QuarantineFile('F:\WINDOWS\NCLAUNCH.EXe','');
DeleteFile('F:\Documents and Settings\masha\DoctorWeb\Quarantine\xxnonp.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
Последний раз редактировалось Rene-gad; 27.10.2009 в 19:50.
Причина: удалять winsys2.exe пока не будем :)
-
-
Junior Member
- Вес репутации
- 53
Прислал карантин, сделал логи.
Замечания:
1)Восстановление системы уже было отключено
2)После скрипта компьютер не перегрузился, начал, на экране только обои остались - и стал. Пришлось кнопкой после 10 минут...
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
QuarantineFile('F:\WINDOWS\NCLAUNCH.EXe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке прислать запрошенный карантин
-
-
Junior Member
- Вес репутации
- 53
Ошибка карантина файла, попытка прямого чтения (F:\WINDOWS\NCLAUNCH.EXe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения ( F:\WINDOWS\NCLAUNCH.EXe)
Карантин с использованием прямого чтения - ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Архив карантина не изменился. Могу попробовать его достать, загрузившись с второй осью, потому что визуально этого файла нет в папке F:\WINDOWS
...Загрузился со второй оси, файла не вижу в упор... regeditom удалил из HKCU ссылку на NCLAUNCH.exe.
Последний раз редактировалось prog; 27.10.2009 в 21:06.
-
Попробуйте выполнить поиск с помощью AVZ и прислать (приложение 3 правил)
-
-
Junior Member
- Вес репутации
- 53
Не нашел его AVZ. И что дальше?
-
Пофиксите в Hijackthis:
Код:
O4 - HKCU\..\Run: [NCLaunch] F:\WINDOWS\NCLAUNCH.EXe
-
-
Junior Member
- Вес репутации
- 53
Так я его уже того, rеgedit-oм. будем считать что пофиксил, так как HJ уже его не показывает.
-
Антивирус больше не находит троянов?
-
-
Junior Member
- Вес репутации
- 53
Залез на http://vkontakte.ru/id15306537 (дочкина и ось, и страница), получил пару свеженьких. Давно подозревал что тянется оттуда. Мои действия?
-
-
-
Junior Member
- Вес репутации
- 53
Новые логи. Кстати, нашел закономерность. Звери появлялись в корне дисков, отданных ЦЕЛИКОМ в полный доступ (это все дома, ноут подключен к десктопу через DSL-модем с встроенным хабом, вроде бояться некого было).
P.S. Убрал доступ к дискам целиком - начали лезть в расшаренные папки.
Последний раз редактировалось prog; 28.10.2009 в 11:22.
-
Junior Member
- Вес репутации
- 53
Есть соображения? Живет ли что-то на компьютере или все-же лезет извне? Других проявлений не замечал, могу у смериться, просто очень не хочется зря переустанавливать систему-в моем случае это очень надолго...
-
Сообщение от
prog
Живет ли что-то на компьютере или все-же лезет извне?
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
На такой системе и то и другое запросто возможно.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.
- Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 53
Вторая ось на этой машине-с SP3, но на ней картина при посещении однокласников повторяется. OK,IE не пользуюсь, но из-за соображений безопасности обновлюсь, SP3 поставлю, что понимать под "все последующие важные патчи" ?
-
все последующие важные патчи
Все исправления безопасности, которые Microsoft выпустила после SP3
-
-
Junior Member
- Вес репутации
- 53
Для начала:
1.Установил SP3.
2.Установил IE8.
3.Включил встроенный брандмауэр.
Пока ничего не лезет. Интересно, попробую помучить вторую ось на машине. SP3 там уже стоял, но лезло все равно. Пропробую поставить IE8, включить-выключить брандмауэр... В любом случае всем спасибо за помощь и идеи...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-