Показано с 1 по 19 из 19.

Packed.Win32.Klone.bj, Win32.HLLW.Autohit.7920 - снова и снова... (заявка № 58479)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53

    Thumbs up Packed.Win32.Klone.bj, Win32.HLLW.Autohit.7920 - снова и снова...

    На компьютере две системы. После работы в одной из них, предположительно после выхода в интернет, в корне логических дисков возникает autorun.inf и exe-шник с произвольным именем, который иногда детектируется KAV как Packed.Win32.Klone.bj, иногда нет. Для Dr.Web эти файлы всегда Win32.HLLW.Autohit.7920. Там же- файлы khu ,khv,kht нулевой длины. Логи прикрепил. Что-бы это было?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    1. Отключисте восстановление системы!
    2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('F:\Documents and Settings\masha\DoctorWeb\Quarantine\xxnonp.exe','');
     QuarantineFile('F:\WINDOWS\system32\winsys2.exe','');
     QuarantineFile('F:\WINDOWS\NCLAUNCH.EXe','');
     DeleteFile('F:\Documents and Settings\masha\DoctorWeb\Quarantine\xxnonp.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

    Сделайте новые логи
    Последний раз редактировалось Rene-gad; 27.10.2009 в 19:50. Причина: удалять winsys2.exe пока не будем :)

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Прислал карантин, сделал логи.
    Замечания:
    1)Восстановление системы уже было отключено
    2)После скрипта компьютер не перегрузился, начал, на экране только обои остались - и стал. Пришлось кнопкой после 10 минут...

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('F:\WINDOWS\NCLAUNCH.EXe','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке прислать запрошенный карантин

  6. #5
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Ошибка карантина файла, попытка прямого чтения (F:\WINDOWS\NCLAUNCH.EXe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения ( F:\WINDOWS\NCLAUNCH.EXe)
    Карантин с использованием прямого чтения - ошибка
    Создание архива с файлами из карантина
    Создание архива с файлами из карантина завершено

    Архив карантина не изменился. Могу попробовать его достать, загрузившись с второй осью, потому что визуально этого файла нет в папке F:\WINDOWS

    ...Загрузился со второй оси, файла не вижу в упор... regeditom удалил из HKCU ссылку на NCLAUNCH.exe.
    Последний раз редактировалось prog; 27.10.2009 в 21:06.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Попробуйте выполнить поиск с помощью AVZ и прислать (приложение 3 правил)

  8. #7
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Не нашел его AVZ. И что дальше?

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Пофиксите в Hijackthis:
    Код:
    O4 - HKCU\..\Run: [NCLaunch] F:\WINDOWS\NCLAUNCH.EXe

  10. #9
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Так я его уже того, rеgedit-oм. будем считать что пофиксил, так как HJ уже его не показывает.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Антивирус больше не находит троянов?

  12. #11
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Залез на http://vkontakte.ru/id15306537 (дочкина и ось, и страница), получил пару свеженьких. Давно подозревал что тянется оттуда. Мои действия?

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Сделайте новые логи

  14. #13
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Новые логи. Кстати, нашел закономерность. Звери появлялись в корне дисков, отданных ЦЕЛИКОМ в полный доступ (это все дома, ноут подключен к десктопу через DSL-модем с встроенным хабом, вроде бояться некого было).
    P.S. Убрал доступ к дискам целиком - начали лезть в расшаренные папки.
    Последний раз редактировалось prog; 28.10.2009 в 11:22.

  15. #14
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Есть соображения? Живет ли что-то на компьютере или все-же лезет извне? Других проявлений не замечал, могу у смериться, просто очень не хочется зря переустанавливать систему-в моем случае это очень надолго...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от prog Посмотреть сообщение
    Живет ли что-то на компьютере или все-же лезет извне?
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    На такой системе и то и другое запросто возможно.

    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8.
    - Сделайте лог полного сканирования MBAM.

  17. #16
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Вторая ось на этой машине-с SP3, но на ней картина при посещении однокласников повторяется. OK,IE не пользуюсь, но из-за соображений безопасности обновлюсь, SP3 поставлю, что понимать под "все последующие важные патчи" ?

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    все последующие важные патчи
    Все исправления безопасности, которые Microsoft выпустила после SP3

  19. #18
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    10
    Вес репутации
    53
    Для начала:
    1.Установил SP3.
    2.Установил IE8.
    3.Включил встроенный брандмауэр.
    Пока ничего не лезет. Интересно, попробую помучить вторую ось на машине. SP3 там уже стоял, но лезло все равно. Пропробую поставить IE8, включить-выключить брандмауэр... В любом случае всем спасибо за помощь и идеи...

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) prog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLW.Autohit.7864
      От Bocsman в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 31.08.2010, 19:48
    2. Win32.HLLW.Autohit.7416
      От stasura в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.04.2009, 18:40
    3. win32.HLLW.Autohit.3438
      От Pavel Taranenko в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 07.04.2009, 20:44
    4. Win32.HLLW.Autohit.3438 и Win32.HLLW.Gavir.ini
      От parus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.03.2009, 14:13
    5. И снова Win32.HLLW.Autoruner.5555 [not-a-virus:AdWare.Win32.FearAds.ak ]
      От heidelberg23 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 09:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00046 seconds with 17 queries