Перейти к содержимому


- - - - -

Вирус


  • Закрытая тема Тема закрыта
Сообщений в теме: 17

#1 mager

mager

    Втянувшийся

  • Members
  • PipPipPip
  • 272 сообщений
  • Пол:Мужчина

Отправлено 09 Декабрь 2006 - 22:31

раз 4 уже за эти 3 дня вылазиет вот это зловестное окошечко Nod32
что обнаружен вирус win32\IRCBot.SE.
вроде бы AVZ удаляет его, но всеравно через некоторое время опять Nod32 обнаруживает этот же вирус...
посоветуйте что-нибудь как от него избавить и чтоб он не даставал так часто.

Сообщение отредактировал mager: 09 Декабрь 2006 - 22:54


#2 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 09 Декабрь 2006 - 23:03

AVZ -> Параметры поиска -> Поставить птички на блокировании руткитов в юзер и кернел мод -> Нажать "Пуск" -> После окончания сканирования идем в меню "Файл" -> Исследование системы -> Там еще раз жмем Пуск -> Полученный результат в виде htm файла пакуем в архив и крепим сюда

#3 mager

mager

    Втянувшийся

  • Members
  • PipPipPip
  • 272 сообщений
  • Пол:Мужчина

Отправлено 09 Декабрь 2006 - 23:33

все сделал...
вот htm

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.rar   8,35К   25 Количество загрузок:


#4 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 09 Декабрь 2006 - 23:50

Вот это зверь:

Цитата

C:\WINDOWS\system32\drivers\ntndis.exe
и вот это тоже, по-моему:

Цитата

c:\windows\outpost.exe
(Outpost установлен у Вас?)
Идем в AVZ, файл, отложенное удаление, выполняем отложенное удаление для:
C:\WINDOWS\system32\drivers\ntndis.exe
c:\windows\outpost.exe (этот тоже убиваем, если Outpost Вы не устанавливали)
Далее не закрывая AVZ, уходим на перезагрузку. После перезагрузки повторяем логи так, как указано здесь:
http://virusinfo.inf...read.php?t=1235
и прикрепляем их в данной теме

Сообщение отредактировал XL: 09 Декабрь 2006 - 23:54


#5 mager

mager

    Втянувшийся

  • Members
  • PipPipPip
  • 272 сообщений
  • Пол:Мужчина

Отправлено 10 Декабрь 2006 - 00:04

Цитата

Идем в AVZ, файл, отложенное удаление, выполняем отложенное удаление для:
C:\WINDOWS\system32\drivers\ntndis.exe
дело в том что я как раз так этот вирус и делял... после того как удалил заходил по этому пути и не видил файла ntndis.exe, а потом уже через некоторое время опять Nod32 выдает окно, что найден вирус и все занава...

Outpost не устанавливал.

#6 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 10 Декабрь 2006 - 00:16

Цитата

c:\windows\outpost.exe
это похоже на троян даунлодер, который снова и воскрешает бэкдор компоненту (C:\WINDOWS\system32\drivers\ntndis.exe). нужно удалять все сразу!
после этого сделайте все три лога из поста 4

#7 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 10 Декабрь 2006 - 01:09

%sysdir%\drivers\ntndis.exe
%SysDir%\drivers\ntndis.exe is Trojan/Backdoor.
Kill the process ntndis.exe and remove ntndis.exe from Windows startup using RegRun Reanimator.


Removal: %SysDir%\drivers\ntndis.exe is removed by RegRun.

Нашел чего то
:blush:

Програмку надо бы найти и скачать :)

Сообщение отредактировал Alucard: 10 Декабрь 2006 - 01:09


#8 mager

mager

    Втянувшийся

  • Members
  • PipPipPip
  • 272 сообщений
  • Пол:Мужчина

Отправлено 10 Декабрь 2006 - 01:12

че за програмка?

#9 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 10 Декабрь 2006 - 01:26

Полезная утилита, которая отслеживает какие именно программы запускаются Windows автоматически. Позволяет получить информацию об этих программах, приостановить их запуск, удалить, изменить и т.п.

Состоит из трех компонентов, один из которых запускается еще до старта Windows и позволяет поменять конфигурацию загрузки; второй работает при старте Windows, а третий сидит в системной панели и отслеживает изменения автозагружаемых программ, позволяя Вам их отменить...

#10 mager

mager

    Втянувшийся

  • Members
  • PipPipPip
  • 272 сообщений
  • Пол:Мужчина

Отправлено 10 Декабрь 2006 - 01:32

Просмотр сообщенияXL (10.12.2006, 00:16) писал:

это похоже на троян даунлодер, который снова и воскрешает бэкдор компоненту (C:\WINDOWS\system32\drivers\ntndis.exe). нужно удалять все сразу!
после этого сделайте все три лога из поста 4

вот логи...

Прикрепленные файлы


Сообщение отредактировал mager: 10 Декабрь 2006 - 01:34


#11 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 10 Декабрь 2006 - 10:16

Все убито! Через hijack this пофиксить следы в реестре:

Цитата

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O8 - Extra context menu item: &Search - http://edits.mywebse...ZSzed055YYRU_ZS
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfar...tup1.0.0.15.cab


Просмотр сообщенияAlucard (10.12.2006, 01:09) писал:

%sysdir%\drivers\ntndis.exe
%SysDir%\drivers\ntndis.exe is Trojan/Backdoor.
Kill the process ntndis.exe and remove ntndis.exe from Windows startup using RegRun Reanimator.
Removal: %SysDir%\drivers\ntndis.exe is removed by RegRun.

Нашел чего то
:dance:

Програмку надо бы найти и скачать :lol:

Дык выше ж написано было, что не только ключ удаляли уже, но и сам файл. А он - гад берет и сам появляется вновь спустя какое-то время. Знать, что-то его снова загружало. Как раз Outpost.exe старался, похоже. Так что надо сначала с причинами разобраться, а потом уже следствие устранять!

#12 mager

mager

    Втянувшийся

  • Members
  • PipPipPip
  • 272 сообщений
  • Пол:Мужчина

Отправлено 10 Декабрь 2006 - 16:39

Цитата

Через hijack this пофиксить следы в реестре:
знал бы я как =)

#13 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 10 Декабрь 2006 - 17:10

http://virusinfo.inf...read.php?t=4491

#14 mager

mager

    Втянувшийся

  • Members
  • PipPipPip
  • 272 сообщений
  • Пол:Мужчина

Отправлено 10 Декабрь 2006 - 18:53

вроде все сделал...
вроде все норм.. окно nod32 пока не вылетает что однаружен вирус.
вот лог полученного.

Прикрепленные файлы

  • Прикрепленный файл  hijackthis.rar   2,48К   13 Количество загрузок:


#15 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 10 Декабрь 2006 - 19:02

Все чисто!

#16 Predator

Predator

    Новичок

  • Members
  • Pip
  • 2 сообщений

Отправлено 15 Ноябрь 2007 - 21:52

Подскажите что такое AVZ?

#17 .creo

.creo

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 786 сообщений
  • Пол:Мужчина
  • Город:DefaultCity
  • Интересы:лучше вам и не знать %)

Отправлено 15 Ноябрь 2007 - 21:55

Predator
_http://www.google.com/search?client=opera&rls=ru&q=avz&sourceid=opera&ie=utf-8&oe=utf-8

#18 Predator

Predator

    Новичок

  • Members
  • Pip
  • 2 сообщений

Отправлено 15 Ноябрь 2007 - 22:02

Спасибо!  :wacko:




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных