Показано с 1 по 17 из 17.

Не пойму- опять, похоже, вражина пробрался! (заявка № 9896)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    64

    Thumbs up Не пойму- опять, похоже, вражина пробрался!

    Всем привет!
    Последнее время (дней 10 может) мой комп стал подтормаживать в работе. Я занервничал, сделал глубокое сканирование NOD32- все чисто. Смотрел автозагрузку- тоже ничего интересного не нашел. А сегодня при выходе из ждущего режима выскочило сообщение, мол обнаружена критическая ошибка виндов, зайдите на сайт, скачайте и установите программу для устранения ошибки. Адрес сайта, ессно, левый абсолютно (название списАть забыл). Комп домашний, установлены NOD32 2.7 Control Center и Outpost Firewall Pro ver. 4.0.971.7030 (584). Поскольку часто работает жена- могла че-нить и зацепить или открыть по незнанию (говорит правда, ничего левого не открывала). Необходимые логи прикрепляю. Спецы, гляньте, есть ли что-нить криминальное?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\ac3filter.cpl','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\inspDetS40n.ocx','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\inspDetS30.ocx','');
     QuarantineFile('C:\Program Files\SoftForum\XecureWeb 4.0\ActiveX\xwctl40.dll','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\inspDetS20.ocx','');
     QuarantineFile('C:\WINDOWS\DOWNLO~1\NETCAM~1.OCX','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\inspDetS10.ocx','');
     QuarantineFile('D:\MyPhoneExplorer\DLL\ShellMgr.dll','');
     QuarantineFile('c:\windows\svchost.exe','');
     DeleteFile('c:\windows\svchost.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O16 - DPF: {224B38F5-5C81-11D6-880E-00A0B006B47F} (inspDetS10.uInspDetS10) - http://www.saa.co.kr/buy/memhome/poss/inspDetS10.CAB
    O16 - DPF: {2344525C-D704-48EE-92AF-61A423443503} (RewardNetwork amLauncher Class) - http://affiliate.rewardnetwork.net/codebase/launcher/WSautoshop.cab
    O16 - DPF: {298BFFEE-662D-11D5-ADAF-00E0810232D7} (lgbplay Class) - https://video.manheim.com/lib/LiveSound.dll
    O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://82.129.130.250/img/NetCamPlayerWeb11g.ocx
    O16 - DPF: {5C0F0487-5C82-11D6-880E-00A0B006B47F} (inspDetS20.uInspDetS20) - http://www.saa.co.kr/buy/memhome/poss/inspDetS20.CAB
    O16 - DPF: {7E9FDB80-5316-11D4-B02C-00C04F0CD404} (XecureWeb 4.0 Client Control) - http://eib.keb.co.kr/XecureObject/xw40_install.cab
    O16 - DPF: {B8D552BB-5C82-11D6-880E-00A0B006B47F} (inspDetS30.uInspDetS30) - http://www.saa.co.kr/buy/memhome/poss/inspDetS30.CAB
    O16 - DPF: {DFB12691-5DE9-11D6-880E-00A0B006B47F} (inspDetS40n.uInspDetS40n) - http://www.saa.co.kr/buy/memhome/poss/inspDetS40n.CAB
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Важно! Обратите внимание на это:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Необходимо установить SP2 и последующие обновления!
    Иначе будете тут постоянным клиентом
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    64
    MaXim Скрипт выполнил, строки "пофиксил". Файлы карантина- это все файлы, которые показываются через файл-> просмотр карантина? Их там штук 20, на 2 мега, все высылать? Новые скрипты прилагаю.
    Bratez Я думаю, SP2 и обновления не установить на данный комп. Винда стоИт нелицензионная, обновиться с Майкрософта не захочет поди? Или можно попытаться?
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Очевидный зловред удален, остальное скорее всего чистое, но все таки пришлите, если не сложно, случаи бывают разные.

    SP2 не требует проверки подлинности, но потребует повторной активации. Большинство более поздних обновлений, по крайней мере - критические, также устанавливаются без проверки.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    64
    Bratez ОК, все файлы из карантина отправил, гляньте их, пожалуйста. И еще вопрос- после установки SP2 можно будет сделать активацию аналогично SP1, т.е. reset-ом?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    И еще вопрос- после установки SP2 можно будет сделать активацию аналогично SP1, т.е. reset-ом?
    Мы не даём консультаций по использованию крэков и других средств, нарушающих лицензию ПО.

  9. #8
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    64
    Цитата Сообщение от MaXim Посмотреть сообщение
    Мы не даём консультаций по использованию крэков и других средств, нарушающих лицензию ПО.
    Ой, сорьки! И правда, о чем это я???
    Ладно, мужики, огромное спасибо за помощь!

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Ладно, мужики, огромное спасибо за помощь!
    Не спешите радоваться. Ещё не пришел результат анализа некоторых файлов...

  11. #10
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    64
    Цитата Сообщение от MaXim Посмотреть сообщение
    Не спешите радоваться. Ещё не пришел результат анализа некоторых файлов...
    Ну так я не радуюсь, я жду... Вдруг мой комп поразил новый мега-вирус? Вообще поражение вирусом раз в пол-года кмк вполне терпимый результат.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    C:\WINDOWS\svchost.exe - Trojan-PSW.Win32.LdPinch.atw
    C:\WINDOWS\Downloaded Program Files\inspDetS30.ocx, C:\Program Files\SoftForum\XecureWeb 4.0\ActiveX\xwctl40.dll - Trojan-PSW.Win32.Nilage.zd (по Kaspersky).

    Bratez, говоришь остальные файлы чистые?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Downloaded Program Files\inspDetS30.ocx');
     DeleteFile('C:\Program Files\SoftForum\XecureWeb 4.0\ActiveX\xwctl40.dll');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи. В срочном порядке меняйте все пароли.

  13. #12
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    64
    MaXim, дзенькую бардзо! Скрипт выполнил, на мой взгляд после этого в эксплорере пошустрее залетал компьютер. А пароли- да там ниче интересного-то нет, авторизация на сайтах/форумах да ася 9-значная. Неужели понадобится кому-нить? (на всяк случай поменял) Логи прилагаю...
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    В логах чисто.
    MaXim, дзенькую бардзо!
    С переводом, пожалуйста Это кстати на каком языке Вы сказали?
    А пароли- да там ниче интересного-то нет, авторизация на сайтах/форумах да ася 9-значная.
    Странно, что в течении этих 10 дней Вы ещё ей пользовались.
    Неужели понадобится кому-нить?
    У Вас найдено два трояна, ворующих пароли. Значит кому-то понадобилось. Попытайтесь вспомнить, где Вы эти трояны могли получить. Если будут какие-то ссылки, тогда мне в личку. На форуме не публикуйте.

    Кстати, было бы хорошо отправить файлы карантина ещё в вир. лаб NOD'а. Поищите у нас на форуме их адрес.

    Ну и как обычно даю ссылку, на рекомендации по профилактики.

    Вы можете нас отблагодарить так Мы будем Вам очень благодарны!
    В качестве вариантов ещё почитайте тут и тут

    Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

    Удачи!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023

    Talking

    Цитата Сообщение от MaXim Посмотреть сообщение
    С переводом, пожалуйста Это кстати на каком языке Вы сказали?
    bardzo dziękuję (PL)=Danke Schoen(D)=Thank You Very Much(GB)=щиро дякую(UA)= большое спасибо(RUS)=Muchas gracias(Е)=Muito obrigada(POR)=Mille Grazie(I)
    Сорри за ОТ.

  16. #15
    Junior Member Репутация
    Регистрация
    23.11.2006
    Сообщений
    14
    Вес репутации
    64
    MaXim Это по-польски, но я больше ничего не знаю. Про трояны ничего не скажу, но уверен, что их подцепила жинка где-то, я хожу только по проверенным местам, они у меня все в избранном. А она шарится где попало- рэмблером поиск включит, и пошла 20 страниц ссылок лопатить. Так что тут не угадаешь. По остальным ответам- спасибо, принял к сведению.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Если что обращайтесь, но лучше будьте здоровы

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\svchost.exe - Trojan-PSW.Win32.LdPinch.byx (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) Тошкин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Похоже trojan ahoy опять (заявка №62958)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.03.2011, 18:00
    2. Похоже опять вирус!
      От Tanya1 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.01.2010, 13:46
    3. Вражина в системе?
      От Vtii в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 16.06.2009, 19:14
    4. Пробрался вирус
      От inf в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.06.2008, 15:18
    5. Пробрался norBtok.exe, помогите вылечить!!!
      От KayNaL в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.02.2006, 17:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00036 seconds with 20 queries