Показано с 1 по 11 из 11.

Polip и Palevo наседают (заявка № 73596)

  1. #1
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    4
    Вес репутации
    29

    Exclamation Polip и Palevo наседают

    антивирус часто отлавливает Net-Worm.Win32.Kolab.***, P2P-Worm.Win32.Palevo.***, P2P-Worm.Win32.Polip.a
    Обнаруживаются в файлах с именами [две-три цифры].exe которые загружает svchost.exe.

    Почти каждый сеанс работы заканчивается ошибкой "Svchost.exe ошибка приложения. Инструкция по адресу ******* обратилась к памяти по
    адресу ********. память не может быть writen".

    Помоему, после этого сообщения комп виснет, хотя открытый заранее диспетчер задач показывает
    невысокую загрузку процессора.

    Кстати, AVZ не обновляется.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,683
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\msvmcls64.exe');
    QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\flcss.sys','');
     QuarantineFile('c:\windows\system32\msvmcls64.exe','');
     DeleteFile('c:\windows\system32\msvmcls64.exe');
     DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','259');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','940');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','313');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','388');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','127');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','974');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','400');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','764');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','214');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Последний раз редактировалось thyrex; 15.03.2010 в 20:23.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    4
    Вес репутации
    29
    после выполнения скрипта AVZ смогла обновиться.
    если правильно понял, то сделал логи как в первый раз, так и ComboFix'овский.
    карантин вроде выслал.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Пока не обновите: Platform: Windows XP SP2 (WinNT 5.01.2600), будете лечиться у нас.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    4
    Вес репутации
    29
    то есть мне надо установить обновление, подлечиться и всё? я правильно понял?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Сначала пролечиться, а потом обновиться с учетом того, что у Вас система "сборка".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,683
    Вес репутации
    3028
    Утилиту KL AntiFunLove сами устанавливали?

    Скачайте Avenger by Swandog46 и распакуйте на рабочий стол.
    Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
    Код:
    Drivers to disable:
    
    Drivers to delete:
    
    Files to delete:
    c:\windows\alevir.exe
    c:\windows\brasil.exe
    c:\windows\scrsvr.exe
    c:\windows\srv32.exe
    c:\windows\system32\bride.exe
    c:\windows\system32\aavar.pif
    c:\windows\brasil.pif
    
    Folders to delete:
    
    Registry values to delete:
    
    Registry keys to delete:
    Нажмите Execute и подтвердите, нажав Yes

    Avenger автоматически выполнит следующее:
    * Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
    * При перезагрузке кратковременно появится черное окно, это нормально
    * После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
    * Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.

    Файл c:\avenger.txt прикрепите к следующему сообщению.
    Последний раз редактировалось thyrex; 15.03.2010 в 18:00.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    14.03.2010
    Сообщений
    4
    Вес репутации
    29
    ok

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Все удалилось. Теперь для порядка логи AVZ повторите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,683
    Вес репутации
    3028
    + к PavelA

    Хотелось бы увидеть ответ
    Цитата Сообщение от thyrex Посмотреть сообщение
    Утилиту KL AntiFunLove сами устанавливали?
    Лог ComboFix новый также сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\msvmcls64.exe - Email-Flooder.Win32.Agent.ah ( DrWEB: Trojan.MulDrop1.6506, BitDefender: Trojan.Inject.VB.AB )


  • Уважаемый(ая) DimaGuskov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Червь Win32.Polip
      От ejfyhspazv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.05.2010, 14:41
    2. P2P-Worm.Win32.Polip.a
      От bmw-mtv в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.04.2010, 08:09
    3. polip
      От tobevirus в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 16.04.2010, 09:36
    4. Как удалить Win32/Polip?
      От faktorx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.02.2008, 21:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00640 seconds with 16 queries