Показано с 1 по 11 из 11.

Помогите, словил вирусняк через асю и почту. (заявка № 6875)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    41

    Thumbs up Помогите, словил вирусняк через асю и почту.

    Вообще-то я довольно мнительный в плане открывать всякую фигню, но тут пришло сообщение от пользователя из контакт-листа, и я не устоял. Дальше как обычно- по ссылке ничего не открылось, NOD32 control center слетел, остался работать Outpost. Подозрительно как-то... Я позвонил человеку и убедился, что он мне ничего не присылал. Попытки переустановить НОД успехов не имели, NOD32 contol center выдавал ошибку ядра, при этом сканер NOD32 работал. Каспер 5 тоже не хотел устанавливаться (файл установки не запускался вообще), после переименования файла установки прога встала, но не запускалась. Проверил новые файлы, в windows/system32 обнаружились какие-то новые dll и exe файлы, я их снес, что сумел. ПотОм еще на почту пришло пара писем, типа, с вашего адреса летят вирусы, срочно установите наши патчи. Ну, я тоже по одной ссылке ломанулся в панике. Вечером поставил новый Outpost 4.0.971.7030 (584). На данный момент повышенная сетевая активность не наблюдается, все, что вылезло в автозагрузку было отменено и новое не проявляется. В диспетчере задач наблюдаю активный процесс sbeddem.exe. Файл с этим названием был вчера удален из директории windows/system32, файл sbeddem.dll, сидевший там же, удалить не смог. Данный процесс просил исходящее соединение, был блокирован Outpost'ом. NOD32 control center по-прежнему не функционирует, пробовал переустанавливать несколько раз, NOD32 сканер и Outpost Anti-spyware периодически при проверке системы показывают несколько вирусов, я их уничтожаю, а потОм все по-новой. Логи AVZ и HijackThis прикрепляю, старался все делать, как написано в инструкции. Заранее прошу прощения за некоторый сумбур в изложении инфы, ибо не хакер я.
    С увж., Антон.
    Вложения Вложения
    Последний раз редактировалось Зайцев Олег; 23.11.2006 в 13:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Пришлите файл C:\WINDOWS\System32\sbeddem.dll для анализа согласно правилам

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    41
    Цитата Сообщение от Зайцев Олег
    Пришлите файл C:\WINDOWS\System32\sbeddem.dll для анализа согласно правилам
    ОК, выслал.
    Файл сохранён как 061123_080603_virus_45659cbbdeb08.zip
    Размер файла 96382
    MD5 59637a0ee2c13dd2b14dfba0420ffafe
    А больше никаких подозрительных файлов в логах не прописано?

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    sbeddem.dll - Email-Worm.Win32.Warezov.fz, этот файл нужно удалить отложенным удалением. После этого нужно перезагрузиться и сделать новые логи - для контроля.

  6. #5
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    41
    Цитата Сообщение от Зайцев Олег
    sbeddem.dll - Email-Worm.Win32.Warezov.fz, этот файл нужно удалить отложенным удалением. После этого нужно перезагрузиться и сделать новые логи - для контроля.
    Спасибо! А можно поподробнее про отложенное удаление? Или хотя бы где прочитать? Удалить надо только .dll? А он в тут же директорию постоянно генерирует такой же .exe (вчера удалял, а сегодня он опять на месте), его тоже в топку?
    Да, а может этот вирус быть причиной того, что не запускается NOD32 control center?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    1. Запустить AVZ
    2. В меню AVZGuard - Включить AVZGuard
    3. В меню Файл - Отложенное удаление файла - в поле вводите:
    Код:
    C:\WINDOWS\System32\sbeddem.dll
    и жмёте OK
    4. То же самое для
    Код:
    C:\WINDOWS\System32\sbeddem.exe
    5. Перезагружаетесь, не выходя из AVZ и не выключая AVZGuard

  8. #7
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    41
    Сорри, не дождался ответа и сделал отложенное удаление без включения AVZGuard. Файлы из директории удалились, так что по-другому удалить их ужЕ не могу. Процесс sbeddem в диспетчере задач отсутствует. Логи после перезагрузки выглядят так:
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Поищите и, если найдётся, пришлите файл mssvcc.exe. Потом можно пофиксить:
    Код:
    O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
    O20 - Winlogon Notify: sbeddem - C:\WINDOWS\System32\sbeddem.dll (file missing)
    А вот это я не знаю, что такое, но ссылки выглядят подозрительно:
    Код:
    O16 - DPF: {224B38F5-5C81-11D6-880E-00A0B006B47F} (inspDetS10.uInspDetS10) - http://www.saa.co.kr/buy/memhome/poss/inspDetS10.CAB
    O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.129.130.250/img/NetCamPlayerWeb11g.ocx
    O16 - DPF: {5C0F0487-5C82-11D6-880E-00A0B006B47F} (inspDetS20.uInspDetS20) - http://www.saa.co.kr/buy/memhome/poss/inspDetS20.CAB
    O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://www.fxkeb.com/XecureObject/xw_install.cab
    O16 - DPF: {B8D552BB-5C82-11D6-880E-00A0B006B47F} (inspDetS30.uInspDetS30) - http://www.saa.co.kr/buy/memhome/poss/inspDetS30.CAB
    O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/keb/npkcx.cab
    O16 - DPF: {DFB12691-5DE9-11D6-880E-00A0B006B47F} (inspDetS40n.uInspDetS40n) - http://www.saa.co.kr/buy/memhome/poss/inspDetS40n.CAB
    Может, кто знает?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    я бы рекомедовал пофиксить .Похоже на корейскю рекламу

  11. #10
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    41
    Цитата Сообщение от drongo
    я бы рекомедовал пофиксить .Похоже на корейскю рекламу
    очень возможно, я по работе шарюсь по корейским сайтам.

  12. #11
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    41
    Цитата Сообщение от pig
    Поищите и, если найдётся, пришлите файл mssvcc.exe. Потом можно пофиксить:
    Код:
    O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
    O20 - Winlogon Notify: sbeddem - C:\WINDOWS\System32\sbeddem.dll (file missing)
    А вот это я не знаю, что такое, но ссылки выглядят подозрительно:
    Код:
    O16 - DPF: {224B38F5-5C81-11D6-880E-00A0B006B47F} (inspDetS10.uInspDetS10) - http://www.saa.co.kr/buy/memhome/poss/inspDetS10.CAB
    O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.129.130.250/img/NetCamPlayerWeb11g.ocx
    O16 - DPF: {5C0F0487-5C82-11D6-880E-00A0B006B47F} (inspDetS20.uInspDetS20) - http://www.saa.co.kr/buy/memhome/poss/inspDetS20.CAB
    O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://www.fxkeb.com/XecureObject/xw_install.cab
    O16 - DPF: {B8D552BB-5C82-11D6-880E-00A0B006B47F} (inspDetS30.uInspDetS30) - http://www.saa.co.kr/buy/memhome/poss/inspDetS30.CAB
    O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/keb/npkcx.cab
    O16 - DPF: {DFB12691-5DE9-11D6-880E-00A0B006B47F} (inspDetS40n.uInspDetS40n) - http://www.saa.co.kr/buy/memhome/poss/inspDetS40n.CAB
    Может, кто знает?
    Короче, я все пофиксил на всякий случай, решил, хуже не будет. Вышеуказанный файл не нашел, видимо, его какой-нить антивирь ужЕ грохнул, а мож, я сам в панике.
    NOD32 control center тоже сразу заработал, в общем, наступило щастье!
    Всем участникам огромное спасибо и успехов!!!
    Последний раз редактировалось Тошкин; 23.11.2006 в 21:02.

  • Уважаемый(ая) Тошкин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите! Словил winlocker [Trojan-Ransom.Win32.Gimemo.abzr ]
      От Acid62 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 13.07.2012, 21:40
    2. Помогите завелся вирусняк
      От oleg1379 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.04.2011, 11:35
    3. словил вирус через аську
      От R_Pavel в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.03.2010, 08:31
    4. Помогите вылечить вирусняк
      От Brakses в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:40
    5. Какойто вирусняк словил, плз ХЕЛПП
      От kreditnik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.08.2008, 09:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00821 seconds with 17 queries