Показано с 1 по 19 из 19.

Осталась какая-то хрень (заявка № 8474)

  1. #1
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64

    Exclamation Осталась какая-то хрень

    Дёрнул меня чёрт взяться за удалённую работу... Наловил кучу всякого дерьма =((

    Первые симптомы:
    • самопроизвольное закрытие окон IE и некоторых программ;
    • убийство AnVir (сторож реестра);
    • появились процессы вида: drf1173910330[1].html.exe, и icqnet.exe;
    • в IE появилась какая то левая надстройка выдающая себя за DM toolbar;
    • скорость загрузки из Инета в Download Master после первых секунд падает до 3 килобайт в сек (должно быть ~80 кбс), причём такое же падение скорости наблюдается также и для файлов внутренней сетки (должно быть ~1100 килобайт в сек).
    drweb-cureit.exe нашёл и прибил (удалил файлы) 2 вируса что-то там.. Trojan.Dialer... и NTNN... не помню точно, а лог он не сохранил, вот редиска =(. Найдены они были в файлах: dmaster.exe, icqnet.exe, smss.exe, и в каком то ещё... из IE Temp.

    При первом прогоне AVZ (по правилам, первый скрипт) - AVZ был самопроизвольно закрыт. После перезагрузки и повторного запуска скрипт отработал нормально. Логи прилагаю.

    Сейчас остался последний симпом из перечисленных. Стало быть наверно что то ещё осталось. Поможите люди добрые.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64
    Забыл добавить: при загрузке файла средствами IE скорость нормальная, возможно это и не существенно.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Program Files\LightWave_3d_7.0\Plugins\Animate\MD2000.p','' );
     QuarantineFile('D:\temp\vir\drf1173910330[1].html.exe','');
     QuarantineFile('D:\temp\swarmsaver.scr','');
     QuarantineFile('D:\WINDOWS\system32\ou1viewer.dll','');
     QuarantineFile('d:\program files\alias\maya6.0\docs\wrapper.exe','');
     QuarantineFile('d:\windows\system32\wtablet\tabuserw.exe','');
     QuarantineFile('d:\program files\alias\maya6.0\docs\jre\bin\java.exe','');
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
    Очистите кэш браузера.

  5. #4
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64
    Выслал. Кстати файла 'D:\temp\swarmsaver.scr' в карантине не оказалось. Да и на диске его нет.

  6. #5
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64
    Всё? Помощь иссякла? =((

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В присланном:
    drf1173910330[1].html.exe - Trojan.Win32.Dialer.ri
    ou1viewer.dll - Trojan-PSW.Win32.Maran.da
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\temp\vir\drf1173910330[1].html.exe');
     DeleteFile('D:\WINDOWS\system32\ou1viewer.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи.
    PS. Сайт http://cahek.hut1.ru в доверенную зону сами прописывали?

  8. #7
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64
    После удаления ou1viewer.dll полностью отвалилсся Инет (http, pop3, skype, icq и т.д хотя сервера пинговались). Восстановил пока ou1viewer.dll, иначе совсем тоскливо. Нет ли другого способа кроме удаления?

    Откуда вы узнали, что в ou1viewer.dll - Trojan-PSW.Win32.Maran.da? AVZ ничего не нашёл, DrWeb CureIt - нашёл Dialer.Tiny. Им что нельзя доверять?

    Цитата Сообщение от Bratez Посмотреть сообщение
    PS. Сайт http://cahek.hut1.ru в доверенную зону сами прописывали?
    Да сам, это мой сайт. Есть опасность?

    Так мне выполнять это скрипт и делать логи? Инет опять же отвалится, а без Инета какая жизнь?
    Последний раз редактировалось A4'; 19.03.2007 в 06:41. Причина: Добавлено уточнение

  9. #8
    Visiting Helper Репутация Репутация Аватар для Кто?
    Регистрация
    07.04.2006
    Адрес
    Владивосток
    Сообщений
    104
    Вес репутации
    67
    После выполнения скрипта.
    AVZ -> файл -> Восстановление системы -> поставить галочку на п.14 -> выполнить отмеч. операции.
    Интернет должен восстановиться, если нет, то. отметить п. 15 и выполнить.

    Откуда вы узнали, что в ou1viewer.dll - Trojan-PSW.Win32.Maran.da?
    Это по классификации лаборатории Касперского
    Последний раз редактировалось Кто?; 19.03.2007 в 08:36.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Кстати, если Касперский не ошибается, то нужно будет поменять пароли на все: интернет, аську, почту и пр.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64
    Увы, симптомы (падение скорости загрузки в Download Master) пока остаются =(
    Через некоторое время вышлю логи, а пока вопрос: как проверять систему с помощью CureIT? (2 пункт правил) Достаточно ли того что она проверяет стартовые файлы при своём запуске или её нужно прогонять вообще по всем файлам? Если Второе, то это будет пипец как долго. Много, много часов....

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    CureIt надо просто запустить, он сделает все, что нужно.
    Это не долго, всего несколько минут.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от A4' Посмотреть сообщение
    Увы, симптомы (падение скорости загрузки в Download Master) пока остаются =(
    Так у вас ou1viewer.dll по-прежнему живет, или совет Кто? не помог?

  14. #13
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64
    ou1viewer.dll - убит, Инет восстановлен, совет Кто? очевидно помог. SPI/LSP настройки восстановлены. Но симптомы остались =( Не знаю что и думать...
    Ладно щас ещё раз логи сделаю.
    Последний раз редактировалось A4'; 19.03.2007 в 17:48. Причина: добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуйте удалить DM (желательно с очисткой его папки и ключей в реестре), скачать свежий и поставить.

  16. #15
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64
    Дык... уже пробовал (пару дней назад, когда всё это началось) только реестр не чистил..

    Там по логам видна какая-то зараза
    в D:\WINDOWS\system32\drivers\sptd.sys. Якобы скази-драйвер...
    имеет дату 31 января 3007 года и перехватывает всё что только можно. Произаодитель и версия не указаны.
    Рядом с ним в D:\WINDOWS\system32\drivers\ валяются sptd_to_deleted.sys и sptd4173_to_deleted.sys. Версия, описание и производитель вроде разумные. Скази устройств на компе нет, но ставил себе Deamon Tools которых и поставил (ИМХО) скази порт драйвер.

    Логи прилагаю. Во время записи логов были какие то катклизмы и комп 1 раз перезагружался. Пипец...

    Поможите люди добрые. Заипался я совсем.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Спокойствие, только спокойствие как говорит Карлсон
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\ksdmac.dll','');
     QuarantineFile('D:\WINDOWS\smss.exe','');
    RebootWindows(true);
    end.
    возможно его друг или два , пришлите эти файлы .
    Последний раз редактировалось drongo; 19.03.2007 в 20:58.

  18. #17
    Junior Member Репутация
    Регистрация
    07.10.2006
    Сообщений
    40
    Вес репутации
    64
    =( скрипт выполнил, однако ни в карантине ни на диске файлов нет. Между логом и скриптом была одна перезагрузка (по правилам млять! истерика... )

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Обнаружил Вашу старую тему. Там лечились от Look2Me.
    История повторяется. Если Look2MeDestroyer еще не удалили
    попробуйте его запустить. Он тоже перезагружает машину. Его протокол загрузите сюда.

    З.Ы.
    В скрипте последняя команда перезагружает компьютер.
    Повторюсь: "Спокойствие,спокойствие"
    Последний раз редактировалось PavelA; 20.03.2007 в 10:50.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\temp\\vir\\drf1173910330[1].html.exe - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
      2. d:\\windows\\system32\\ou1viewer.dll - Trojan-PSW.Win32.Maran.da (DrWEB: Trojan.PWS.Maran)


  • Уважаемый(ая) A4', наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проверьте осталась ли какая-то зараза
      От Anton_Petrenko в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 28.04.2009, 06:33
    2. Какая-то очень противная хрень.
      От Аминазин в разделе Помогите!
      Ответов: 45
      Последнее сообщение: 08.12.2008, 15:29
    3. Хрень какая-то
      От Паук в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.07.2008, 21:24
    4. Сидит какая то хрень!
      От denlion в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.06.2008, 22:42
    5. Сидит какая то хрень!
      От denlion в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.06.2008, 20:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00172 seconds with 20 queries