Показано с 1 по 7 из 7.

Подозрение на Nikolic, подозрительное в sys32, подозрительные тормоза (заявка № 86715)

  1. #1
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31

    Подозрение на Nikolic, подозрительное в sys32, подозрительные тормоза

    Добрый день уважаемые гуру, помогите пожалуйста.

    (Win7ult-Ru, core i3, 2,9Ггц, ОЗУ-2Гб)
    На компьютере недавно был тотальный апгрейд (мама, проц ит.п.) при сохранении операционки на винте, система долго не поднималась (отдельная тема), посему на общем фоне собственно подозрительного ничего не отмечено. Хотя иногад странные тормоза.
    (И к новому железу поставлены разные новые дрова и утилиты - не во всем еще разобрался что полезно а что нет)
    Стоит Нод32 (ESS), регулярно обновляется.
    Однако подозрительное:
    1.На флешках стали появляться вирии типа Nikolic (авторан, + в папке Николич какаято живность). Утверждать что вирии на флешке именно с этого кмопа - точно не могу. Флешка пробежалась по нескольким компам, и Николич на ней всплывал дважды. Вроде легко убивается любым антивирусом, но откуда берется пока непонятно. Может более живуч чем кажется?
    Но на самом компе, в руте, такой папки не появляется.
    2. В папке Win-sys32 отмечено появление ранее не знакомых (Ну плохо пока знаю Вин7) файлов например невидимый ezsidmv.dat. Вирустотал ничего плохого не сказал.

    Запускался свежий АВПТул, КюрИт - ничего не нашли. Однако в безопасном режиме АВПТул при запуске вылетает с ошибкой.

    Сделал логи от АВЗ.
    Я посмотрел в логах Подозрительные объекты.
    Кроме Сборки версии Миранды от Альфамара - всё вроде "знакомые вирусы". Альфамаровскую сборку - грузил с оффсайта alfamar.miranda.im

    Развейте пожалуйста мои подозрения относительно вирусов.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    ...я преисполнен терпения, смиренно жду внимания к своему сообщению

    UPD
    Уж полночь близится, а помощи всё нет
    Последний раз редактировалось C0NSUL; 30.08.2010 в 21:41.

  4. #3
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    Ммм... Прошло почти двое суток...

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,112
    Вес репутации
    928
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Windows\System32\Drivers\at2r6ibe.SYS','');
     QuarantineFile('C:\Users\C0NSUL\AppData\Local\Temp\0cXZ9zlI.sys','');
     DeleteFile('C:\Users\C0NSUL\AppData\Local\Temp\0cXZ9zlI.sys');
     DeleteFile('C:\Windows\System32\Drivers\at2r6ibe.SYS');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW',2 ,2 ,true);
     BC_DeleteFile('C:\Users\C0NSUL\AppData\Local\Temp\0cXZ9zlI.sys');
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

    Сделайте новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    Спасибо.
    Скрипт выполнил, скрипт выполнен успешно.
    Но файл quarantine.zip пуст
    Файлов:
    C:\Windows\System32\Drivers\at2r6ibe.SYS
    C:\Users\C0NSUL\AppData\Local\Temp\0cXZ9zlI.sys
    не обнаружено (Это после скрипта. До - не хватило ума посмотреть).
    Пытался отправить пустой quarantine.zip (ну мож я чё нипонимаю, Вы просили - мы делаем) по ссылке "прислать запрошенный карантин". Но выскочило сообщение "Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен"
    размер файла quarantine.zip - 22байта. Там только заголовок Зип архива
    Код:
    PK
    (не думаю что он нужен. но если нужен смогу куданить выложить а сюда ссылку)

    Логи сделал заново, прилагаю.
    Посмотрите плззз...

    ps
    обнаружена живность на другом, соседнем компутере (mmpc.exe и прочие радости). Тут комп, а еще есть нетбук, всё домашнее. Возможно именно оттуда и прыгал Николич на флешку(писал в шапке). Если не справлюсь то вскорости создам новую тему.
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,112
    Вес репутации
    928
    Плохого не увидел.
    Цитата Сообщение от C0NSUL Посмотреть сообщение
    Если не справлюсь то вскорости создам новую тему.
    Да, для другого ПК новая тема.

  8. #7
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Плохого не увидел.
    Спасибо!

  • Уважаемый(ая) C0NSUL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 17.05.2012, 15:07
    2. Ответов: 8
      Последнее сообщение: 19.08.2010, 08:56
    3. Подозрительные тормоза, возможно руткит?
      От SSB777 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.08.2010, 09:06
    4. Ответов: 11
      Последнее сообщение: 01.06.2010, 14:49
    5. Вирус на диске С: Sys32.exe
      От Seele в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.06.2009, 15:26

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01414 seconds with 17 queries