Показано с 1 по 15 из 15.

Момент истины или loads.cc (заявка № 9524)

  1. #1
    Junior Member Репутация
    Регистрация
    06.05.2007
    Сообщений
    7
    Вес репутации
    39

    Thumbs up Момент истины или loads.cc

    После изучения логов файервола, обнаружено, что ряд программ (Internet Explorer, Mail.Ru Агент и обновщик NOD32) непонятно зачем соединяются с loads.cc. Этот домен немедленно был заблокирован в файерволе. NOD32 и Ad-Aware ничего не обнаружили, хотя соединения с этим сервером (предлагающим сомнительные услуги, кстати) идет до сих пор.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    А правила вы плохо читали, прочтите ещё раз :

    Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!!!


    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\SUO.cpl','');
     QuarantineFile('NvQTwk.exe','');
     QuarantineFile('C:\WINDOWS\system32\perfc000.dat','');
     QuarantineFile('C:\Program Files\Scanner\KYESCAN.EXE','');
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил и только так , и ни как иначе!!!
    Последний раз редактировалось drongo; 06.05.2007 в 21:24.

  4. #3
    Junior Member Репутация
    Регистрация
    06.05.2007
    Сообщений
    7
    Вес репутации
    39
    Прошу прощения за невнимательность Почему-то показалось, что это распространяется только на 8 пункт.

    [ moderated ]
    Запрошенные файлы загружать согласно приложения 3 правил!

    Файл сохранён как/td> 070506_224855_virus_463e23174bb27.zip
    Размер файла 164379
    MD5 c1db923f7e6627fe1e5a1ae38b63a3c7
    Последний раз редактировалось Shu_b; 06.05.2007 в 21:49.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    А где написано в правилах, что нужно к теме запрошенные файлы присоединять ? Ну покажите!
    Последний раз редактировалось drongo; 06.05.2007 в 22:03.

  6. #5
    Junior Member Репутация
    Регистрация
    06.05.2007
    Сообщений
    7
    Вес репутации
    39
    вот черт... не мой сегодня день. Извините.

  7. #6
    Junior Member Репутация
    Регистрация
    06.05.2007
    Сообщений
    7
    Вес репутации
    39
    Если что, вот новые логи.
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Пришел ответ по присланным файлам:
    C:\WINDOWS\system32\perfc000.dat - Backdoor.Win32.Small.os
    Касперский детект уже добавил. Соответственно, в программе Hijackthis пофиксите строчку
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\perfc000.dat');
    BC_ImportDeletedList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п. 10 правил

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Я бы хотел узнать у вас, что нам добавить в правила что бы такое больше не повторялось ? Вашe мнение нам очень важно.
    Например возьмём ваше сообщение #6. Скажите пожалуйста, кто вас просил ещё раз делать логи до сообщения #6 ? Это где то указано до сообщения #6 ?

  10. #9
    Junior Member Репутация
    Регистрация
    06.05.2007
    Сообщений
    7
    Вес репутации
    39
    Цитата Сообщение от drongo Посмотреть сообщение
    Скажите пожалуйста, кто вас просил ещё раз делать логи до сообщения #6 ? Это где то указано до сообщения #6 ?
    Нет, не указано, но и не указано то, что логи делать не надо, а сгодятся те, что сделаны с открытыми другими программами. Просто ответа долго не было, и мне показалось, что на проблему "забили".
    По поводу пунктов 8, 10 и 12: мне кажется, что
    Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, тектовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!!!
    нужно было написать красным цветом и шрифтом чуть побольше, а то сливается по цвету с рекомендациями по ПО чуть выше в doc-файле.
    И про загрузку вирусов: после п. 14 можно добавить, что "если вас попросят залить вирус, то прочтите приложение 2", а то после прочтения 14 пункта я сразу начал выполнять все рекомендации, а вирус залил таким же способом, как логи, по инерции.
    И напоследок, хотелось бы вам выразить огромную благодарность за ту бескорыстную работу, которую вы проделываете для сохранения безопасности работы пк рядовых пользователей, не искушенных в антивирусных проблемах.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Вроде-бы, чисто. Побочные соединения прекратились? В дополнение: outpost и Tmeter могут не дружить друг с другом. Я бы рекомендовал оставить что-то одно на машине. С другой стороны, если проблем нет, то можно оставить и обе программы.

  12. #11
    Junior Member Репутация
    Регистрация
    06.05.2007
    Сообщений
    7
    Вес репутации
    39
    Да, побочные соединения прекратились. Спасибо вам огромное!

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Вы можете нас отблагодарить так. Мы будем Вам очень благодарны!

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Дизайн правил немного поправил и добавил важное предложение в начале, может поможет
    У вас там ещё netlimiter pro работает. Во первых 2 программы подсчёта трафика - перебор, к тому же надо обязательно отключить в нём файервол( если ещё это не сделано) . У вас же Outpost есть. Просто не думаю ,что нужны лишние тормоза и возможный конфликт драйверов.

  15. #14
    Junior Member Репутация
    Регистрация
    06.05.2007
    Сообщений
    7
    Вес репутации
    39
    В NetLimiter и в TMeter файерволы отключены. Приходится сразу иметь NetLimiter и TMeter потому, что NetLimiter умеет ограничивать скорость работы в сети, а TMeter показывает статистику передачи по ip адресам и разным сетевым интерфейсам (компьютер подключен к двум провайдерам).

    Файлы для АВЗ пришлю чуть позже.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\perfc000.dat - Backdoor.Win32.Small.os (DrWEB: Trojan.Proxy.1739)


  • Уважаемый(ая) Howard, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Windows xp loads and then freezes
      От bjoyce в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 25.05.2010, 09:28
    2. Windows 7.0 - что известно на текущий момент...
      От ScratchyClaws в разделе Другие новости
      Ответов: 4
      Последнее сообщение: 05.01.2008, 19:12
    3. Выброс из системы в момент обращения к CD&DVD
      От Легеза Вячеслав в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 16.12.2007, 18:57
    4. В один момент приходят глюки
      От Dimos в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.08.2007, 13:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01367 seconds with 17 queries