Показано с 1 по 9 из 9.

Избавиться от Stration.XJ worm (заявка № 7974)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2007
    Сообщений
    11
    Вес репутации
    40

    Thumbs up Избавиться от Stration.XJ worm

    Всем привет!

    НОД32 с обновленными базами в среднем каждые 10 минут выдает сообщение с таким содержанием:

    Object: file
    Name: C:\WINDOWS\System32\msrdwint.exe
    Threat: a variant of Win32/Stration.XJ worm
    Action: quarantined - deleted
    User: NT AUTHORITY\SYSTEM
    Information: Event occurred on a new file created by the application \??\C:\WINDOWS\system32\winlogon.exe

    Производил полную проверку НОД32 с последними на сегодняшний день базами. Ничего не находит. А через некоторое время опять появляется это сообщение про msrdwint.exe и про то, что он в очередной раз отправил его на карантин.

    Пожалуйста, помогите кто чем может!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Я склонен согласиться с мнением NOD.
    AVZ - Файл - Выполнить скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\msrdwint.dll','');
     QuarantineFile('c:\windows\system32\msrdwint.exe','');
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_7974_quarantine.zip');
     DeleteFile('c:\windows\system32\msrdwint.exe');
     DeleteFile('C:\WINDOWS\system32\msrdwint.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки пришлите файл virusinfo_7974_quarantine.zip из каталога AVZ через ссылку Прислать запрошенные файлы.
    Затем сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    15.02.2007
    Сообщений
    11
    Вес репутации
    40
    Выполнил скрипт.
    Отправил файл virusinfo_7974_quarantine.zip.
    Сделал новые логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Зверь помер, больше ничего не видно. Пофиксите:
    Код:
    O20 - Winlogon Notify: msrdwint - C:\WINDOWS\
    С MySQL, наверное, сами разберётесь, а то там что-то странное:
    Код:
    O23 - Service: MySQL - Unknown owner - c:\Program.exe (file missing)

  6. #5
    Junior Member Репутация
    Регистрация
    15.02.2007
    Сообщений
    11
    Вес репутации
    40
    Цитата Сообщение от pig Посмотреть сообщение
    Пофиксите:
    Код:
    O20 - Winlogon Notify: msrdwint - C:\WINDOWS\
    Пофиксил. Спасибо, за помощь!

    Цитата Сообщение от pig Посмотреть сообщение
    С MySQL, наверное, сами разберётесь, а то там что-то странное:
    Код:
    O23 - Service: MySQL - Unknown owner - c:\Program.exe (file missing)
    Даже не знаю что это может быть. Файла c:\Program.exe действительно нет.

    Сейчас, когда фиксил строку O20 обратил внимание, что кроме этой странной строки с MySQL есть еще и такая про Apache
    Код:
    O23 - Service: Apache - Unknown owner - C:\Program Files\Apache Group\Apache\Apache.exe" --ntservice (file missing)
    Но если в случае с MySQL файл c:\Program.exe действительно не существует, то C:\Program Files\Apache Group\Apache\Apache.exe вполне нормально существует и исправно работает, запуская сервер как служба каждый раз при старте системы.

    Есть ли какой-нибудь совет как поступить с этими двумя странными строками? Оставить как есть или тоже пофиксить?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    HijackThis не понимает сервисов, которые запускаются с параметрами.

    Так что строчка про Апач вполне законная.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    А относительно MySQL - в таком виде сервису у вас точно нечего делать. Если MySQL вам нужен - переустановите сервис. Если нет - пофиксите.

  9. #8
    Junior Member Репутация
    Регистрация
    15.02.2007
    Сообщений
    11
    Вес репутации
    40
    Большое спасибо за помощь! Ваш ресурс вселяет надежду и вызывает уважение.
    Всем удачи!
    Последний раз редактировалось borilio; 19.02.2007 в 19:03.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\msrdwint.dll - Email-Worm.Win32.Warezov.la (DrWEB: Win32.HLLM.Limar)
      2. c:\\windows\\system32\\msrdwint.exe - Email-Worm.Win32.Warezov.ka (DrWEB: Win32.HLLM.Limar)


  • Уважаемый(ая) borilio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Как избавиться от worm.win32.autorun.hkk
      От apollo76 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.12.2010, 09:11
    2. Не могу избавиться от Net-Worm.Win32.Kolab
      От mazum в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.04.2009, 11:41
    3. Заражение вирусом w32.stration.DB@mm и w32.stration.cX@mm
      От Станислав в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:37
    4. Net-Worm.Win32.Kido.bg как избавиться?
      От Paramon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.01.2009, 16:14
    5. Не могу избавиться от W32/Stration.gen@32
      От alexeiko в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 02.12.2007, 11:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01367 seconds with 17 queries