Показано с 1 по 10 из 10.

Smitfrand-c, Zlob.homepagemonitor и Vcodec.intcodec в одном флаконе (заявка № 6489)

  1. #1
    mostor
    Guest

    Smitfrand-c, Zlob.homepagemonitor и Vcodec.intcodec в одном флаконе

    И дня непрошло как избавился от рассылки руткитом, как новая напасть. СпайБот детектирует Smitfrand-c, Zlob.homepagemonitor и Vcodec.intcodec, успешно лечит. После перезагрузки компа проверяешь спайботом - сначала всё оК, но через пару минут вирус обнаруживает себя. Появляются якобы системные окошки (System Protection Center, Installing Updates) об обнаружении spywere и предложением даунлодить их ПО. Проявление вируса можно купировать удалив прцесс svcost.exe, инициированный от имени пользователя, забирающий до 90% ресурса процессора. Всего видно 6-8 процессов с таким именем, запущенных пользователем, SYSTEM, LOCAL SERVICE, NETWORK SERVICE. Куре от ДрВеб, АВЗ ни чего не находят, даже если ткнуть в экзешник с гадостью. В АВЗ ток срабатывает эвристика на название vxgame*.exe. Логи аттачу.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    1. Пришлите согласно правилам файлы:
    c:\windows\system32\msmapi32.exe
    c:\program files\rsprint\printmon.exe
    C:\WINDOWS\system32\intr32.dll
    C:\WINDOWS\system32\cpadvai.dll
    C:\Program Files\Sable\WINNT\startnt.bat
    C:\WINDOWS\system32\3339_32.dll
    C:\WINDOWS\system32\ipv6mons.dll
    C:\Program Files\expektMPP\MPPoker.exe
    C:\Program Files\Windows XT\Party\PartyPoker.exe
    C:\WINDOWS\System32\ventmon.dll
    C:\WINDOWS\system32\vxgame*.exe

    2. Базы AVZ не обновлены - может быть, он уже ловит обитающую на компьютере заразу

    3. Необходимо почистить файл HOSTS

  4. #3
    mostor
    Guest
    Отправил.
    -Ещё добавил VXH8JKD*.exe - они создаются вместе с vxgame*.exe и на них ругается СпайБот: Smitfrand-c
    -C:\WINDOWS\system32\cpadvai.dll был удален кем-то ещё во время борьбы с руткитом, на его отсутствие при загрузке один раз ругался msmsgs.exe
    -ipv6mons.dll удалён давно, Куре распознал в нём Troyan.PWS.Tanspy
    -C:\Program Files\expektMPP\MPPoker.exe в калоге нет
    -C:\Program Files\Windows XT\Party\PartyPoker.exe уже успел снести вместе с кталогом

  5. #4
    mostor
    Guest
    Извиняюсь, C:\Program Files\expektMPP\MPPoker.exe, этот есть, отправил
    -C:\Program Files\Sable\WINNT\startnt.bat - вроде кряк, давно стоящий
    -C:\WINDOWS\system32\3339_32.dll вроде тоже удалял в период борьбы с руткитом http://www.virusinfo.info/showthread.php?t=6476, там куча завирусованных файлов была создана с 17-20 до 17-30 11.10.06, я все созданные в это время и удалил

  6. #5
    mostor
    Guest
    Цитата Сообщение от Зайцев Олег
    13. Необходимо почистить файл HOSTS
    Как?
    Есть :
    hosts.inc и hostsD.inc в C:\Documents and Settings\Слава\Local Settings\Temp\CRY2EDC.tmp

    hosts.inc и hostsD.inc в C:\Documents and Settings\Слава\Local Settings\Temp\CRYAE3.tmp

    hosts.inc и hostsD.inc в C:\Documents and Settings\Слава\Local Settings\Temp\CRY2EDC.tmp\Active.zip

    hosts.inc и hostsD.inc в C:\Documents and Settings\Слава\Local Settings\Temp\CRYAE3.tmp\Active.zip

    hosts в C:\WINDOWS\system32\drivers\etc

    hosts.ics в C:\WINDOWS\system32\drivers\etc

    lmhosts в C:\WINDOWS\system32\drivers\etc

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    C:\WINDOWS\system32\drivers\etc
    Вот об этом файле речь.
    В норме там должны быть строки начинающеся с #. Это просто текстовый комментарий. И всего одна строка по делу:
    127.0.0.1 localhost

    Всякие другие строки или сам юзер пишет по своему желанию, или "зверьки" прописывают.
    Если есть строки, прописанные "зверьками", то стереть их.

    Файл смотреть и править можно любым текстовым редактором. Блокнот вполне подойдёт.
    Наше дело правое--победа будет за нами!!!

  8. #7
    mostor
    Guest
    Палыч
    Там столько всего понаписано.... Сделал копию файла и оставил с одной описанной вами строкой.

  9. #8
    mostor
    Guest
    Вот логи после обновлённого AVZ, кстати cpadvai.dll теперь виден. Может отослать?
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от mostor
    Вот логи после обновлённого AVZ, кстати cpadvai.dll теперь виден. Может отослать?
    конечно же отослать

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от mostor
    Вот логи после обновлённого AVZ, кстати cpadvai.dll теперь виден. Может отослать?
    Да, пришлите
    C:\WINDOWS\system32\cpadvai.dll
    и эти тоже:
    c:\program files\google\googletoolbar1.dll
    C:\WINDOWS\system32\win_f.dll

  • Уважаемый(ая) mostor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Get Accelerated & seres.exe в одном флаконе!
      От koscheck в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.10.2009, 02:41
    2. Ну дайте наконец пощупать это! Все слухи в одном флаконе
      От SDA в разделе Лечение и защита мобильных устройств
      Ответов: 0
      Последнее сообщение: 03.06.2009, 21:23
    3. Zlob.DNS Changer
      От briz2008 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:22
    4. Zlob.gen!GW & GV
      От PEAKTOP в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:22
    5. zlob.gen
      От horry в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 05:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01317 seconds with 20 queries