Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 41.

Помогите убить Sality.Nau (заявка № 91855)

  1. #1
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27

    Cool Помогите убить Sality.Nau

    Доброго вечера. Вчера нод32 начал кричать что заражены экзешники вирусом от Sality.Nau один файл за другим но вроде остановился, и соответственно немного было заражено. Событие вызвано процессом NMIndexStoreSvr.exe, этот процесс впоследствии я убрал из автозагрузки. Затем в корне дисков С и D начали создаваться какие-то странные файлы с расширеним .exe и без него, причем название файлов это просто набор букв, и также начали создаваться autorun.inf. Я удаляю а они заново появляются. Когда процесс NMIndexStoreSvr.exe не работает то вроде бы эти файлы больше не создаются. Хочу убедиться что больше нет этой заразы, меня напрягает еще keylogger который может забрать мои данные. Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Лечимся сначал так - http://virusinfo.info/showthread.php?t=15927

    Потом готовим новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    Опять началось, NOD32 обнаружил угрозу
    Объект: C:\ggowsr.exe
    Угроза: Win32/Packed.autofit.E.Gen приложение
    Комментарий: Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\uTorrent\uTorrent.exe

    Началось это когда я подключился к инету. Помогите.

    Добавлено через 9 минут

    Olejah, Я сегодня уже лечился только не с диска а с компа, часов 12 заняла полная проверка, и после этого отправил логи. 3 файла было удалено после проверки. Так не подойдет? Просто если опять запустить полную проверку в безопасном а потом в обычном режиме это почти сутки займет. Просто тогда может лучше переустановить винду? Нужно ваше мнение
    Последний раз редактировалось dimonbk; 16.11.2010 в 22:43. Причина: Добавлено

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('D:\Games\Ну погоди\FileCopier.exe','')
     QuarantineFile('F:\autorun.inf','');     
     BC_ImportAll;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Цитата Сообщение от dimonbk Посмотреть сообщение
    Когда процесс NMIndexStoreSvr.exe не работает то вроде бы эти файлы больше не создаются.
    Я так полагаю, что этот процесс не был запущен при сборе логов. Поэтому ничего особо интересного в них нет. Попробуйте повторить логи с запущенным процесом - мы посмотрим чего он творит.

  6. #5
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    Действительно процесс NMIndexStoreSvr.exe не был запущен, но чудеса уже продолжились и без него. На всякий случай я его включил. Карантин отправил.
    А скрипты надо выполнять при включенном интернете или нет? Чудеса происходят когда комп подключен к сети, целый день был отключен вроде бы ничего не происходило.
    К сожалению файл F:\autorun.inf я удалил еще до вашего сообщения.(

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Цитата Сообщение от dimonbk Посмотреть сообщение
    А скрипты надо выполнять при включенном интернете или нет?
    Да, это очень желательно, тем более, что проблема связана с этим.

  8. #7
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    Значит я все правильно делал, а вы получили файл карантина?

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Карантин получили, но авторан не попал туда, причину Вы назвали выше, а этот - D:\Games\Ну погоди\FileCopier.exe - принят на обработку, но я думаю, Вы знаете что это за файл.

    Дополнительно к логам АВЗ, сделайте лог полного сканирования МВАМ

  10. #9
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    D:\Games\Ну погоди\FileCopier.exe
    Если честно то я не знаю что это за файл. Провел полное сканирование MBAM

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Ничего подозрительного. Странности продолжаются?

  12. #11
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    MBAM сказал мне что у меня где то 10 вирусов. Я не стал их удалять. Есть пока что одна странность. У меня ноутбук достаточно шустрый. Но в эти дни лампочка работы харда потихоньку включается и выключается как будто я что то записываю туда, хотя ничего не пишу. А самовольное появление файлов пока что не наблюдается. Я думаю в течении дня посмотрю и отпишусь.
    Кстати а запускать скрипты в АВЗ нужно выключив антивирус и экран? А браузер должен быть включен в этот момент?
    А системное восстановление я могу обратно включить или не нужно?

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Смотря о каких скриптах идёт речь. Если стандартных, для сбора логов, то да.

  14. #13
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    Я имею ввиду не стандартные скрипты, которые вы пишите. А системное восстановление я могу обратно включить или не нужно?

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Когда я пишу скрипт, я сразу даю рекомендации, что нужно сделать перед его выполнением. Восстановление можно включить.

  16. #15
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    Спасибо, в течение дня посмотрю и отпишусь

  17. #16
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    Ну вот, опять началось. Прикладываю скрин
    И авторан появился и еще несколько неизвестных файлов

  18. #17
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    1. Сделайте полную проверку CureIt

    2. Если не поможет, найдите этот файл(C:\что-то там.exe), запакуйте в zip-архив с паролем virus и пришлите по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  19. #18
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    Вчера были те же самые чудеса и я делал полную проверку CureIt, он просто нашел эти файлы и сказал что инфекция и я их удалил соответственно. Поэтому сразу отправляю Вам. Еще там соданы файлы авторан и какой то khy без расширения. Их не надо отправлять? Архив сделал но не пойму запаролился он или нет, в winrar устанавливал пароль.
    А с этими странными файлами что делать, удалять или пока не надо?

  20. #19
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Это Worm.Win32.AutoIt.xl, который уже детектируется, а соответственно должен вычищаться. C:\Program Files\uTorrent\uTorrent.exe - вот это деисталлируйте и посмотрите за событиями. Естественно сначала удалив вредоносный файл.

  21. #20
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    23
    Вес репутации
    27
    Только вопрос, а что является вредоносным файлом? Вы имеете ввиду, удалить эти созданные автораны и другие непонятные файлы со всех дисков, а потом удалить uTorrent, я правильно понял?

  • Уважаемый(ая) dimonbk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Помогите убить вирус
      От Сергей3105 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.02.2012, 23:56
    2. Помогите убить z-connect
      От Toktvi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.08.2009, 09:53
    3. HElp me! помогите убить виря
      От Timocha в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:56
    4. Вирус Sality помогите убить
      От dirolwhite в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.07.2008, 16:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00558 seconds with 16 queries