Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 49.

Проверьте пожалуйста файлик (заявка № 9299)

  1. #1
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    0

    Thumbs up Проверьте пожалуйста файлик

    при очередном осмотре AVZ поругался на файлик autelc.dll как на кейлоггер троян. Эта dll'ка без цифровой подписи. Грузится в разделе winlogon notify. После отложенного удаления система его не восстановила. System restore отключено, значит в кеше системных dll этого файла нет. (иначе он вернулся бы на место). Сделал вывод вывод что файл не от системы, раз она без него блаполучно обошлась. Находился в \\.\WINDOWS\system32. Кто может поисследовать хотя-бы на вскидку - что это за зверь.

    файлик в rar архиве без пароля. сварганил не по инструкции потому что сначала скопировал на всякий случай, потом прибил. а так как и без него все работает - задумался а не отправить ли знающим людям.

    Спасибо всем кто откликнется.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Нет уж , присылать только по ссылке вверху вашей темы ( http://virusinfo.info/upload_virus.php?tid=9299 ) и с паролем virus
    в зипе .Сделайте логи, посмотрим , что там осталось.

  4. #3
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    0
    фалик переотправил в zip'е с нужным паролем.

    Файл сохранён как 070426_131052_autelc_46306c9ce2b92.zip
    Размер файла 19757
    MD5 c66a8f32db8a81e9aa3f9748ff324156

    поспешил и аналогично через ссылку вверху темы отправил так же и лог. На вский случай вложил и сюда.
    Вложения Вложения
    Последний раз редактировалось WhiteWolf; 26.04.2007 в 12:25. Причина: Добавление

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    367
    выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\autelc.dll','');
     QuarantineFile('C:\WINDOWS\system32\tmp5.tmp.dll','');
     DeleteFile('C:\WINDOWS\system32\autelc.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2

    пофиксите в hijackthis
    Код:
    O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\tmp5.tmp.dll
    O2 - BHO: (no name) - {1bc8233e-9e32-4ce8-a545-137d10308b4a} - C:\WINDOWS\system32\autelc.dll (file missing)
    O20 - Winlogon Notify: autelc - autelc.dll (file missing)
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
    Логи AVZ нормальные выложите..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Нужны логи от AVZ. Чувствую, будет небольшой улов гадости.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Для тех кто в бронепоезде, специально написали большими буквами что логи прикреплять к теме а не загружать по ссылке А вы в каких войсках ?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    autelc.dll - Packed.Win32.Klone.k по касперскому

  9. #8
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    0
    Войска: компутерных сантехников укомплектованные супер ботинками с магическим бонусом по скорости +5 и мышой помошником с повышенной самокликабельностью и продвинтуым AI

    Прошу извинить за ошибку. Поторопился. Кстати - думается большие буквы надобны в теме непосредственно, примечание добавить там, где ссылка для загрузки запрошенных файлов. (Было прыятно прочитать спасибо )

    После отправки файла проверил DrWEB cure it в защищенном режиме. Выгребло несколько несколько дряни. На всякий случай привожу лог:

    c:\windows\system32\lsasss.exe инфицирован Trojan.Click.2133 - удален
    c:\windows\system32\srvany.exe является потенциально опасной программой Program.SrvAny
    c:\windows\system32\srvany.exe - перемещен
    c:\windows\system32\tmp5.tmp.dll инфицирован Trojan.Juan - удален
    C:\Documents and Settings\Dmitry\Local Settings\Temp\tmp3.tmp.exe инфицирован Trojan.DownLoader.19433 - удален
    C:\Documents and Settings\Dmitry\Local Settings\Temp\tmp4.tmp.exe инфицирован Trojan.Packed.49 - удален
    C:\Documents and Settings\Dmitry\Local Settings\Temp\tmp5.tmp.exe инфицирован Trojan.Packed.49 - удален
    C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\0LQJ01AF\fish20070418[1] инфицирован Trojan.Packed.49 - удален
    C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\3LCS17RL\drf1177568675[1].htm инфицирован Trojan.Packed.49 - удален
    C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\3LCS17RL\drf1177568675[1].htm.exe инфицирован Trojan.Packed.49 - удален
    C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\MJ25WFYZ\ffa_dn_20070424[1] инфицирован Trojan.Packed.49 - удален
    C:\Documents and Settings\Dmitry\Local Settings\Temporary Internet Files\Content.IE5\VX7OP3JS\lientnstaller15_02[1] инфицирован Trojan.DownLoader.19433 - удален
    >C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\W9YZ0PEF\0f87456fc4a1ac162ea4794 358a3d5b3[1] инфицирован Trojan.Click.2133 - удален

    Пофиксил рекомендуемые пункты в HijackThis. Прошенные файлы со своего компутера прислать не могу, в связи с тем что, собственно, они удлены DrWEB'ом. Но он их определил как "нормальный" вирус с уже известным именем. В приведенном логе присутствуют.

    Выполняются два стандартных скрипта в AVZ:
    скрипт сбора/лечения/карантина и сбора информации для virusinfo.info
    скрипт сбора неопознанных подохрительных файлов

    результат выложу по готовности.
    -----
    PS. не сразу ответил на сообщения - услали за железом. Доделываю. Видю стал "редиской"
    Последний раз редактировалось WhiteWolf; 26.04.2007 в 19:24. Причина: Продолжение работы/добавление

  10. #9
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    0
    ZIP результат работы AVZ - выслан. (через ссылку)
    лог приереплен к текущему сообщению

    как бы убедиться - что все все прибито....

    Завтра пойду в тему сравнения антивирусов
    Вложения Вложения

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    1. Не уходить пока из темы. Рановато будет ИМНО
    2. Обновить AVZ. Текущая версия 4.25
    3. Выполнить скрипт. Прислать карантин после перезагрузки.

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\urrsqp.dll','');
    RebootWindows(true);
    end.
    4. Нужен лог от HijackThis.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    0
    Выполнил.
    Вопрос: на каком основании Вы решили проверить именно это файл? Если не секрет и как проверяете?
    Вложения Вложения
    Последний раз редактировалось drongo; 27.04.2007 в 17:11.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Это вирус Packed.Win32.Klone.k

    Уберите архив из темы!

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Bratez Посмотреть сообщение
    Это вирус Packed.Win32.Klone.k
    как уже было установлено тут
    http://virusinfo.info/showpost.php?p=106101&postcount=7
    Уберите архив из темы!
    Товарищ не понимает ?
    Цитата Сообщение от drongo
    Для тех кто в бронепоезде, специально написали большими буквами что логи прикреплять к теме а не загружать по ссылке А вы в каких войсках ?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Цитата Сообщение от Rene-gad Посмотреть сообщение

    Товарищ не понимает ?
    вирус пошёл дальше , через мышь

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от WhiteWolf Посмотреть сообщение
    Выполнил.
    Вопрос: на каком основании Вы решили проверить именно это файл? Если не секрет и как проверяете?
    Это секрет мастерства древних мастеров, он не разглашается. (шутка!!)

    Проверяем онлайновыми антивирусами + virustotal. В соотв. разделе есть темы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    как уже было установлено тут
    http://virusinfo.info/showpost.php?p=106101&postcount=7

    Товарищ не понимает ?
    Товарищ про другой файл спрашивает, а про загрузку многие не понимают, как и про распространение вирусов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    надо звуковой сигнал ввести у нас на форуме, предлагаю рык льва ))

  19. #18
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    0
    Друзья, не надо льва
    я никак не найду как удалить присланный файлик. Речь, как я понял, идет о присланной мной dll'ке?

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Сверху темы есть ссылка - Прислать запрошенные файлы
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    26.04.2007
    Адрес
    Москва
    Сообщений
    34
    Вес репутации
    0
    Но там есть только закачать и нету удалить
    И из своего собственного сообщения ошибочно приаттаченный файл как убрать - непонятно


    Из сообщения разобрался. А из темы - так и не понятно. В ссылке наверху - нет!!! менеджмента отправленных файлов.
    Последний раз редактировалось WhiteWolf; 28.04.2007 в 12:41. Причина: разобрался

  • Уважаемый(ая) WhiteWolf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Проверьте пожалуйста.
      От YuriJJ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.04.2011, 15:41
    2. Проверьте, пожалуйста
      От Ven в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.11.2010, 18:27
    3. немогу открыть фалики(
      От F@ust в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.05.2009, 16:08
    4. присылаю вам файлик
      От Hanson в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 21.10.2008, 20:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01543 seconds with 17 queries