Перейти к содержимому


- - - - -

Помоготе одолеть зверя))


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 15

#1 mohnaty

mohnaty

    Новичок

  • Members
  • Pip
  • 7 сообщений

Отправлено 06 Июнь 2008 - 21:32

Ну и так во)) ... присаживайтесь ..... рассаз будет долгим и жалостливым ...... лазила моя систра по нэту ... и зовет меня типа "чет ком тупит" ...... ну я подхожу и смотрю память занята на 450 мегов (вместо обычьных 150 - 200) ........ смотрю в процессах висит winlogon(3 или 4 штуки) userinit и еще парочьку неизвестных процессов .... ну думаю комп погнал ....... перегружаю ....... он попыхтел попыхел но загрузился ....... все точьно так жэ ..... занято 450 мегов все теже процессы ..... и причем запущенные от моего имени ...... ну я думаю "щя я тя гад в ручьную снесу" ...... почистил авто запуск ..... снес вес левые процессы (winlogon и support через диспетчер задачь не сносились вылазило редупреждение о том что это критичесский процесс) из автозапуска все посносил... но не тут то было ........ память поднялась до 1400 мб ....... комп начал пыхтеть ..... ну я еговырубаю ........ потом приммерно час пытался его врубить ....... с горем пополам врубил ...... решил пройтись по червю AVZ ... скачал значь его ....... обновил ....... при проверке нашел 6 вирусов .... 2 из них сразу не снес сказал чтоб комп перегрузил ...... ну я это и сделал ....... а вот фиг мне!!! зверюга осталась на месте + ко всему добавилось то что все проги открываешь и он выкидовает ошибку ...... + каждые 15 минут выкидывает окно его содержание точьно непомню ..... помню только что там его заголовок *!!!* , чтото написано про HTTP 1 еще чтото и в конце conektion : keep\alive ..... ладно думаю ........ авз не спас , зодовлю его каспером установил себе каспера .... пошел за обновлениями ...... с удивлением обнаружил что на сайт каспера меня не пускают)) ......... ладно .... попробую прйтись пустм каспером ...... лезу ег врубить ..... а где каспер??ОО ........ а червь каспера уже задушил!!!! .... иду в авз чтоб попробывать уже вручьную всю дрянь снести ..... авз тож незапускается...... перегружаю комп авз вообще удален!!!!! .. переустанавливаю его а он даж незапускается ...... та жэ тема с каспером ... ну комп все хереет и хереет ..... и я решаюсь на формат ........ форматирую диск ..... переставляю систему ....... все бы вроде хорошо ....... но сегодня с утра опять таже хрень ...... в диспечере процессов висит поменьше wiowpd  и еще какойт)) на сайт каспера мну непускают ...... антивирусы душат ..... проги незапускаются .... и сейчас нет... а вот с утра раз 20 вылезло окно *!!!* ....... и опятьже 450 метров забито и комп подвисает))  ....... вот етрь незнаю где систер умудрилась такого червя поймать))  :(  многих сам своими руками сносил .... но таких чтоб после формата выживали 1й раз виужу!)) помогайте самому несправится)) .......ПЫ.СЫ ....... програмы выдают ошибки только после подключения к нэту ..... когда нэт вырублен все пашет крме антивирусов))

#2 Navi

Navi

    Хранитель форума

  • Moderators
  • PipPipPipPipPipPipPipPip
  • 2 204 сообщений
  • Пол:Мужчина

Отправлено 06 Июнь 2008 - 22:03

:( Это наверно очень злой вирус.. он видимо еще и многоточие в постах добовляет...... как бы не зарозиться.. :lol:

А теперь по делу. Как форматировал? Полное или быстрое? Какие проги после переустановки ставил. и откуда брал дрова.

Сообщение отредактировал Navi: 06 Июнь 2008 - 22:04


#3 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 06 Июнь 2008 - 22:08

Похоже на действие файлового вируса семейства sality (по Касперскому). Достаете Live CD, загружаетесь с него, запускаете DRWeb Cureit и проверяете весь жесткий диск на наличие зверья. Не исключено, что зверь проник и на флешку/диск с дистрибутивами, с которых и заражаетесь вновь после формата...

#4 mohnaty

mohnaty

    Новичок

  • Members
  • Pip
  • 7 сообщений

Отправлено 06 Июнь 2008 - 22:41

проги устанавливал по минимуму , там ворд , вижуал , оперу и флешгет . форматировал полностью раздел С , драййвера с оригинальных дисков брал , на флешку или дискету вирус залететь не мог т.к не то не другое я в комп не втыкал))

#5 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Июнь 2008 - 08:22

тогда ждем лог:
http://www.himki.net...m...st&p=664785

#6 mohnaty

mohnaty

    Новичок

  • Members
  • Pip
  • 7 сообщений

Отправлено 07 Июнь 2008 - 09:22

все бы хорошо но даже авз негрузится(( ..... сегодня попробовал нод и доктора веба ... нод устанавливается но незапускается , др веб вообще не устанавливается .... единственное что помогло это Ad Aware SE нашел 8 вирусов "Data Miner" "Malwar" . Все почистил перегрузился , все по старому проги незапускуаются, антивирусы летять , подключился к нету там опять на сайт каспера непускает и сново висит 2 неизвестных процесса , сейчас просканировал 2й раз  , вирусов осталось уже 4 "Mal ware"  2 из них висит в процессах 2 лежит на диске (причем в ручьную я их на диске ненашел) вот он лог скана

Цитата

Ad-Aware SE Build 1.06r1
Лог файл создан:7 июня 2008 г. 12:01:40
Исп. файл определений:SE1R257 04.06.2008
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Определенные при проверке описания
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(ТАС индекс0):17 всего описаний
Win32.Trojan.Agent(ТАС индекс10):4 всего описаний
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Уст. : Искать значения с маленьким риском
Уст. : Безопасный режим
Уст. : Сканировать активные процессы
Уст. : Скан. регистра
Уст. : Гл. скан. регистра
Уст. : Проверка Избранного на шлак
Уст. : Сканировать хост-файлы

Extended Ad-Aware SE Settings
===========================
Уст. : Выгруженные процессы и модули при проверке
Уст. : Игнорируй перекрывающиеся файлы в cab
Уст. : Сканировать регист всех пользователей
Уст. : Перед удалением попробуй выгрузить модуль
Уст. : Выгружать при удалении WE и IE
Уст. : Файлы в использовании стирать при перезагрузке
Уст. : Удалять изолированные файлы при перезагрузке
Уст. : Агрессивно блокировать pop-upы
Уст. : Автовыбор проблемных объектов в резюме
Уст. : Основные установки программы
Уст. : Расширенные установки
Уст. : Резюме определений
Уст. : Альтернативный поток данных
Уст. : Показывать заставку
Уст. : Бекапить файлы до обновления
Уст. : Звук при нахождении опасных объектов


07.06.2008 12:01:40 - Заказной режим

Запущенные процессы
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 444
    ThreadCreationTime : 07.06.2008 5:03:55
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 520
    ThreadCreationTime : 07.06.2008 5:04:01
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 544
    ThreadCreationTime : 07.06.2008 5:04:01
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 588
    ThreadCreationTime : 07.06.2008 5:04:01
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Операционная система Microsoft® Windows®
    CompanyName        : Корпорация Майкрософт
    FileDescription    : Приложение служб и контроллеров
    InternalName       : services.exe
    LegalCopyright     : © Корпорация Майкрософт. Все права защищены.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 624
    ThreadCreationTime : 07.06.2008 5:04:02
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 752
    ThreadCreationTime : 07.06.2008 5:04:02
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 812
    ThreadCreationTime : 07.06.2008 5:04:03
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 860
    ThreadCreationTime : 07.06.2008 5:04:03
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 904
    ThreadCreationTime : 07.06.2008 5:04:03
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:10 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 944
    ThreadCreationTime : 07.06.2008 5:04:04
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:11 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 1200
    ThreadCreationTime : 07.06.2008 5:04:05
    BasePriority       : Normal
    FileVersion        : 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
    ProductVersion     : 6.00.2900.3156
    ProductName        : Операционная система Microsoft® Windows®
    CompanyName        : Корпорация Майкрософт
    FileDescription    : Проводник
    InternalName       : explorer
    LegalCopyright     : © Корпорация Майкрософт. Все права защищены.
    OriginalFilename   : EXPLORER.EXE

#:12 [spoolsv.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1260
    ThreadCreationTime : 07.06.2008 5:04:05
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
    ProductVersion     : 5.1.2600.2696
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Spooler SubSystem App
    InternalName       : spoolsv.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : spoolsv.exe

#:13 [mdm.exe]
    FilePath           : C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\
    ProcessID          : 1424
    ThreadCreationTime : 07.06.2008 5:04:05
    BasePriority       : Normal
    FileVersion        : 7.00.9466
    ProductVersion     : 7.00.9466
    ProductName        : Microsoft® Visual Studio .NET
    CompanyName        : Microsoft Corporation
    FileDescription    : Machine Debug Manager
    InternalName       : mdm.exe
    LegalCopyright     : © Microsoft Corporation.  All rights reserved.
    OriginalFilename   : mdm.exe

#:14 [smagent.exe]
    FilePath           : C:\Program Files\Analog Devices\SoundMAX\
    ProcessID          : 1484
    ThreadCreationTime : 07.06.2008 5:04:06
    BasePriority       : Normal
    FileVersion        : 3, 2, 6, 0
    ProductVersion     : 3, 2, 6, 0
    ProductName        : SoundMAX service agent
    CompanyName        : Analog Devices, Inc.
    FileDescription    : SoundMAX service agent component
    InternalName       : SMAgent
    LegalCopyright     : Copyright © 2002
    OriginalFilename   : SMAgent.exe

#:15 [rundll32.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1776
    ThreadCreationTime : 07.06.2008 5:04:10
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Операционная система Microsoft® Windows®
    CompanyName        : Корпорация Майкрософт
    FileDescription    : Запуск библиотеки DLL как приложения
    InternalName       : rundll
    LegalCopyright     : © Корпорация Майкрософт. Все права защищены.
    OriginalFilename   : RUNDLL.EXE

#:16 [magent.exe]
    FilePath           : C:\Program Files\Mail.Ru\Agent\
    ProcessID          : 1784
    ThreadCreationTime : 07.06.2008 5:04:10
    BasePriority       : Normal
    FileVersion        : 5, 1, 2198, 0
    ProductVersion     : 5, 1, 2198, 0
    ProductName        : Mail.Ru Агент
    CompanyName        : Mail.Ru
    FileDescription    : Mail.Ru Агент
    InternalName       : magent
    LegalCopyright     : Copyright © 2001-2008
    OriginalFilename   : magent.exe

#:17 [flashget.exe]
    FilePath           : C:\Program Files\FlashGet\
    ProcessID          : 1796
    ThreadCreationTime : 07.06.2008 5:04:10
    BasePriority       : Normal
    FileVersion        : 1, 9, 6, 1073
    ProductVersion     : 1, 9, 6, 1073
    ProductName        : FlashGet
    CompanyName        : FlashGet.com
    FileDescription    : FlashGet
    InternalName       : FlashGet
    LegalCopyright     : Copyright © 1999-2007 by FlashGet
    OriginalFilename   : flashget.exe

#:18 [smtray.exe]
    FilePath           : C:\Program Files\Analog Devices\SoundMAX\
    ProcessID          : 1808
    ThreadCreationTime : 07.06.2008 5:04:10
    BasePriority       : Normal
    FileVersion        : 3, 2, 17, 0
    ProductVersion     : 3, 2, 0, 0
    ProductName        : SoundMAX Integrated Digital Audio
    CompanyName        : Analog Devices, Inc.
    FileDescription    : SoundMAX System Tray
    InternalName       : SMTray
    LegalCopyright     : Copyright © 2003 Analog Devices
    OriginalFilename   : SMTray.exe

#:19 [ctfmon.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 148
    ThreadCreationTime : 07.06.2008 5:04:12
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : CTF Loader
    InternalName       : CTFMON
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : CTFMON.EXE

#:20 [msmsgs.exe]
    FilePath           : C:\Program Files\Messenger\
    ProcessID          : 212
    ThreadCreationTime : 07.06.2008 5:04:12
    BasePriority       : Normal
    FileVersion        : 4.7.3001
    ProductVersion     : Version 4.7.3001
    ProductName        : Messenger
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Messenger
    InternalName       : msmsgs
    LegalCopyright     : Copyright © Microsoft Corporation 2004
    LegalTrademarks    : Microsoft® is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
    OriginalFilename   : msmsgs.exe

#:21 [qip.exe]
    FilePath           : C:\Program Files\QIP\
    ProcessID          : 356
    ThreadCreationTime : 07.06.2008 5:07:46
    BasePriority       : Normal
    FileVersion        : 8.0.5.0
    ProductVersion     : 8.0.5.0
    ProductName        : qip
    CompanyName        : The Author of QIP
    FileDescription    : Quiet Internet Pager
    InternalName       : qip
    OriginalFilename   : qip.exe

#:22 [wscntfy.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 3672
    ThreadCreationTime : 07.06.2008 5:08:45
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Security Center Notification App
    InternalName       : wscntfy.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : wscntfy.exe

#:23 [vb6.exe]
    FilePath           : C:\Program Files\Microsoft Visual Studio\VB98\
    ProcessID          : 380
    ThreadCreationTime : 07.06.2008 5:18:41
    BasePriority       : Normal
    FileVersion        : 6.00.8176
    ProductVersion     : 6.00.8176
    ProductName        : Visual Basic
    CompanyName        : Microsoft Corporation
    FileDescription    : Visual Basic
    InternalName       : VB6.EXE
    LegalCopyright     : Copyright © 1987-1998 Microsoft Corp.
    LegalTrademarks    : Microsoft® is a registered trademark of Microsoft Corporation. Windows™ is a trademark of Microsoft Corporation
    Comments           : June 24, 1998

#:24 [opera.exe]
    FilePath           : C:\Program Files\Opera\
    ProcessID          : 252
    ThreadCreationTime : 07.06.2008 5:42:58
    BasePriority       : Normal
    FileVersion        : 8585
    ProductVersion     : 9.02
    ProductName        : Opera Internet Browser
    CompanyName        : Opera Software
    FileDescription    : Opera Internet Browser
    InternalName       : Opera
    LegalCopyright     : Copyright © Opera Software 1995-2006
    OriginalFilename   : Opera.exe

#:25 [wincull.exe]
    FilePath           : C:\DOCUME~1\Mohnat))\LOCALS~1\Temp\
    ProcessID          : 5520
    ThreadCreationTime : 07.06.2008 5:47:49
    BasePriority       : Normal


Win32.Trojan.Agent Найден объект!
    Тип                : Процесс
    Дата               : wincull.exe
    TAC-рейтинг        : 10
    Категория          : Malware
    Комментарий        :
    Объект             : C:\DOCUME~1\Mohnat))\LOCALS~1\Temp\


"C:\DOCUME~1\Mohnat))\LOCALS~1\Temp\wincull.exe"Процесс закончен успешно
"C:\DOCUME~1\Mohnat))\LOCALS~1\Temp\wincull.exe"Процесс закончен успешно

#:26 [winokbj.exe]
    FilePath           : C:\DOCUME~1\Mohnat))\LOCALS~1\Temp\
    ProcessID          : 5600
    ThreadCreationTime : 07.06.2008 5:47:53
    BasePriority       : Normal


Win32.Trojan.Agent Найден объект!
    Тип                : Процесс
    Дата               : winokbj.exe
    TAC-рейтинг        : 10
    Категория          : Malware
    Комментарий        :
    Объект             : C:\DOCUME~1\Mohnat))\LOCALS~1\Temp\


"C:\DOCUME~1\Mohnat))\LOCALS~1\Temp\winokbj.exe"Процесс закончен успешно
"C:\DOCUME~1\Mohnat))\LOCALS~1\Temp\winokbj.exe"Процесс закончен успешно

#:27 [ad-aware.exe]
    FilePath           : C:\Program Files\Lavasoft\Ad-Aware SE Professional\
    ProcessID          : 4248
    ThreadCreationTime : 07.06.2008 5:51:52
    BasePriority       : Normal
    FileVersion        : 6.2.0.238
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

#:28 [wuauclt.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 6068
    ThreadCreationTime : 07.06.2008 6:00:10
    BasePriority       : Normal


#:29 [wmiprvse.exe]
    FilePath           : C:\WINDOWS\system32\wbem\
    ProcessID          : 4640
    ThreadCreationTime : 07.06.2008 6:00:17
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : WMI
    InternalName       : Wmiprvse.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : Wmiprvse.exe

#:30 [wuauclt.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 2952
    ThreadCreationTime : 07.06.2008 6:01:18
    BasePriority       : Normal


Результаты сканирования памяти:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Опасные объекты: 2
Найденных объектов: 2


Проверка регистра
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Результаты сканирования регистра:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Опасные объекты: 0
Найденных объектов: 2


Глубокая проверка регистра
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Результаты глубокого сканирования регистра:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Опасные объекты: 0
Найденных объектов: 2

MRU List Найден объект!
    Расположение:      : C:\Documents and Settings\Mohnat))\recent
    Описание           : list of recently opened documents


MRU List Найден объект!
    Расположение:      : software\microsoft\direct3d\mostrecentapplication
    Описание           : most recent application to use microsoft direct3d


MRU List Найден объект!
    Расположение:      : software\microsoft\direct3d\mostrecentapplication
    Описание           : most recent application to use microsoft direct X


MRU List Найден объект!
    Расположение:      : software\microsoft\directdraw\mostrecentapplication
    Описание           : most recent application to use microsoft directdraw


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\internet explorer
    Описание           : last download directory used in microsoft internet explorer


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\internet explorer\typedurls
    Описание           : list of recently entered addresses in microsoft internet explorer


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\mediaplayer\player\recentfilelist
    Описание           : list of recently used files in microsoft windows media player


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\mediaplayer\preferences
    Описание           : last playlist index loaded in microsoft windows media player


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\mediaplayer\preferences
    Описание           : last playlist loaded in microsoft windows media player


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\visual basic\6.0\recentfiles
    Описание           : list of recently used files in microsoft visual basic


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
    Описание           : list of files recently opened using microsoft paint


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
    Описание           : list of recent programs opened


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
    Описание           : list of recently saved files, stored according to file extension


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\windows\currentversion\explorer\recentdocs
    Описание           : list of recent documents opened


MRU List Найден объект!
    Расположение:      : .DEFAULT\software\microsoft\windows media\wmsdk\general
    Описание           : windows media sdk


MRU List Найден объект!
    Расположение:      : S-1-5-18\software\microsoft\windows media\wmsdk\general
    Описание           : windows media sdk


MRU List Найден объект!
    Расположение:      : S-1-5-21-1659004503-1390067357-839522115-1003\software\microsoft\windows media\wmsdk\general
    Описание           : windows media sdk



Проверка Tracing Cookie
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Результаты по tracing cookie:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Опасные объекты: 0
Найденных объектов: 19



Глубокая проверка файлов (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Trojan.Agent Найден объект!
    Тип                : Файл
    Дата               : wincull.exe
    TAC-рейтинг        : 10
    Категория          : Malware
    Комментарий        :
    Объект             : C:\Documents and Settings\Mohnat))\Local Settings\Temp\



Win32.Trojan.Agent Найден объект!
    Тип                : Файл
    Дата               : winokbj.exe
    TAC-рейтинг        : 10
    Категория          : Malware
    Комментарий        :
    Объект             : C:\Documents and Settings\Mohnat))\Local Settings\Temp\



Результаты сканирования диска: C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Опасные объекты: 0
Найденных объектов: 21


Проверка хост-файлов......
Хост-файл:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Результаты по хост:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 значений проверено
Опасные объекты:0
Найденных объектов: 21




Условная проверка
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Результат условной проверки:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Опасные объекты: 0
Найденных объектов: 21

12:08:18 Сканирование выполнено

Отчет о сканировании
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Сумм. время:00:06:37.547
Скан. объектов:141852
Опр. объектов:4
Объектов игнорировано:0
Опасные объекты:4


#7 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Июнь 2008 - 09:27

По тому адресу лежит полиморфная сборка - она должна запуститься:
http://z-oleg.com/avz.exe

#8 mohnaty

mohnaty

    Новичок

  • Members
  • Pip
  • 7 сообщений

Отправлено 07 Июнь 2008 - 09:34

Неа. Так жэ как и все остальные - запускается и закрывается сразу

#9 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Июнь 2008 - 09:36

Тогда загрузка с Live CD или проверка харда на другом компе...

P.S. попробуйте переименовать avz.exe в hello.exe

#10 mohnaty

mohnaty

    Новичок

  • Members
  • Pip
  • 7 сообщений

Отправлено 07 Июнь 2008 - 10:03

вот оно

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   83,41К   7 Количество загрузок:


#11 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Июнь 2008 - 10:09

Выполните такой скрипт и пришлите мне в личку карантин:

Цитата

begin
SearchRootkit(true, true);
QuarantineFile('c:\program files\google\googletoolbar1.dll','');
QuarantineFile('C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\qtooo.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Собсно - C:\WINDOWS\system32\drivers\qtooo.sys - троян на 90%, но для начала надо понять какой именно...

#12 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Июнь 2008 - 10:43

1. Скачайте Ice Sword
http://xfocus.net/to...Sword1.18en.rar
2. Нажмите на кнопку File внизу и доберитесь по дереву папок до C:\WINDOWS\system32\drivers\qtooo.sys
3. Нажмите на qtooo.sys правой клавишей и выберите сначала copy to рабочий стол, а затем выполните delete по этому же файлу.
4. Закарантиненного зверя пришлите мне в личку, авз его закарантинить не смогла...
5. Перезагрузите машину и повторите лог авз.

Да и еще, как я и предполагал, служба гугла заражена Sality, о чем мне радостно отрапортовала моя Avira.
Так что удаление драйвера через Ice Sword ничего не даст, пока не пролечите все зараженные exe файлы на компьютере при помощи антивируса. Иначе драйвер будет воскрешаться при каждой перезагрузке.

#13 mohnaty

mohnaty

    Новичок

  • Members
  • Pip
  • 7 сообщений

Отправлено 07 Июнь 2008 - 11:16

итак ...  что мы имем файлика qtooo.sys уже нет в помине , гугл тулбар я снес вручьную, но в диспетчере соново висят неизвестные процессы (кстати сказать названия у них каждый раз разные так что вполне возможно что на qtooo уже давно не qtooo) . Вот теперь мне интересно?? это получается у меня половину exe и инсталов битые и зараженные?? ... а если попробовать еще один фармат и сразу жэ первым делом поставить каспера загрузить на него заранее приготовленные обновления(их я в нэте уже нашел) и просканировать все как следует) .... + ко всему майл агент у мня занимает 53 метра памяти что для него не свойственно вот только сейчас упал до 5ти. хотя скорее всего просто глюк))

#14 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Июнь 2008 - 11:20

Процессы в данном случае не играют никакой роли, т.к зверь состоит из драйвера ядра и кода в зараженных и запущенных приложениях, от лица которых он и работает.
Полный формат решит проблему, но тут важно не заразиться вновь до первого обновления антивируса, т.к. зверь откуда-то из ваших дистрибутивных источников вовращается.

#15 mohnaty

mohnaty

    Новичок

  • Members
  • Pip
  • 7 сообщений

Отправлено 07 Июнь 2008 - 11:26

нуссс ......... непоминийте лихом)) пошол я орматироватся)) Всем огромное спасибо очень благодарен!!! :lol:

#16 Гость_m1cra_*

Гость_m1cra_*
  • Guests

Отправлено 07 Июнь 2008 - 11:43

имхо довольно радикальное решение...




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных