Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Win32.Sector.21 (заявка № 85313)

  1. #1
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28

    Thumbs up Win32.Sector.21

    Win32.Sector.21-jrphr.exe создается вот такой файл.
    Заблокировал Диспетчер задач, редактор реестра, через BOOT CD Реестр тоже не открывается. Dr.Cureit нашел только это и кучу подобных вирусов. AVZ при запуске сразу закрывается, сделал лог Хиджаком.
    Вот такую хрень создается на влешке и на диске
    moderated
    либо .exe файлы создает
    Последний раз редактировалось Rene-gad; 13.08.2010 в 14:28.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Почитайте, может удастся хотя бы лог по п.2 Диагностики сделать.

  4. #3
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Почитайте, может удастся хотя бы лог по п.2 Диагностики сделать.
    Спасибо. Завтра на работе попробую сделать, так как комп рабочий.

  5. #4
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Высылаю логи сделанные по вашей методике. то что смог сделать.
    Последний раз редактировалось Rene-gad; 15.08.2010 в 12:19. Причина: пустой архив удалён

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Восстановление системы: включено
    Почему не отключили? У вас оттуда лезет зверье. Загрузитесь с livecd http://virusinfo.info/showthread.php?t=15927 и сделайте полную проверку, потом повторите логи по правилам.
    Paula rhei.
    Поддержать проект можно тут

  7. #6
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Извините. Сейчас все сделаю. Спасибо.

  8. #7
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Отключил восстановление системы, загрузился под LiveCD, полную проверку провел. Сделал заново ЛОГИ.
    Последний раз редактировалось Rene-gad; 15.08.2010 в 12:18. Причина: пустой архив удалён

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Придётся ещё дополнительно сделать лог Гмер

  10. #9
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Цитата Сообщение от Olejah Посмотреть сообщение
    Придётся ещё дополнительно сделать лог Гмер
    Хорошо сейчас сделаю

    Добавлено через 2 часа 16 минут

    Цитата Сообщение от di-sharm Посмотреть сообщение
    Хорошо сейчас сделаю
    Не могу доконца сделать проверку, комп перегружается. Последний файл который проверяет это попка с MS Office, после этого копм сам уходит на перезагрузку.
    Последний раз редактировалось di-sharm; 15.08.2010 в 11:17. Причина: Добавлено

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Закройте/выгрузите все программы кроме AVZ

    - Отключите Антивирус и Файрвол.

    В AVZ выполните скрипт:

    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    ClearQuarantine;
     DeleteService('MEMSWEEP2');
     QuarantineFile('C:\WINDOWS\system32\1.tmp','');
     DeleteFile('C:\WINDOWS\system32\1.tmp');
     BC_DeleteSvc('MEMSWEEP2');
    BC_ImportAll;
    ExecuteSysClean;
     AddToLog(inttostr(BC_ServiceKill('jwnruarii')) );
     SaveLog(GetAVZDirectory+'avz_log.txt');
    SetServiceStart('RemoteRegistry', 4);
    BC_Activate;
    RebootWindows(true);
    end.


    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Логи повторите, пробуйте еще раз сделать лог gmer.
    Paula rhei.
    Поддержать проект можно тут

  12. #11
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    ОК сейчас сделаю.

  13. #12

  14. #13
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Цитата Сообщение от миднайт Посмотреть сообщение
    Закройте/выгрузите все программы кроме AVZ

    Логи повторите, пробуйте еще раз сделать лог gmer.
    Все сделал по вашей методике, но после проверке GMER при сохранении лога комп зависает в процессах виси lsass.exe 50% загрузки системы сжирает. Простоял так час комп думал отвиснет, но ничего не произошло.

    Лог по красной ссылке, сделанный по скрипту выслал.

    Добавлено через 5 минут

    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Спасибо. Сейчас проверю.
    Последний раз редактировалось di-sharm; 16.08.2010 в 11:05. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Еще раз сделал в AVZ скрипт, перегрузился, зашел под Adminom. Сделал ЛОГ GMERom. Высылаю

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    740
    Кнопку Scan при сканировании нажимали? Все логи делайте из под своей проблемной учетки.
    Paula rhei.
    Поддержать проект можно тут

  17. #16
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Цитата Сообщение от миднайт Посмотреть сообщение
    Кнопку Scan при сканировании нажимали? Все логи делайте из под своей проблемной учетки.
    Да нажимал, но не под проблемной учеткой.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    салили киллер что-то нашел? еще можно попробовать sfc /scannow

  19. #18
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    салили киллер что-то нашел? еще можно попробовать sfc /scannow
    Нет ничего не нашел, комп зависает иногда, в сеть не выходит.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    тогда sfc /scannow

  21. #20
    Junior Member Репутация
    Регистрация
    05.08.2010
    Сообщений
    36
    Вес репутации
    28
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    тогда sfc /scannow
    Спасибо, система перестала тормозить. Проверю еще раз систему CureIt-om. Если что то найдет сделаю логи пришлю вам еще раз.

  • Уважаемый(ая) di-sharm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Sector.16, Win32.Sector.17 (Win32.Sality)
      От Second_Fry в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 07.09.2009, 19:02
    2. Win32.Sector.28682 он же Win32/Sality.NAM
      От Lqaz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.08.2009, 09:05
    3. Ответов: 1
      Последнее сообщение: 02.03.2009, 14:25
    4. Win32.sector.12(sector.5)
      От Medievil в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.12.2008, 03:52
    5. Вирус Win32.Sector.xxx либо Win32.Sality.
      От Akela в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.09.2008, 16:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00833 seconds with 16 queries