плановая проверка - Страница 11

pro-pan · 06.06.2012, 08:57

0035 - жуткие тормоза при работе с интернетом / некоторые файлы, полученные по почте, н еоткрываются / на сайты производителей антивирусов доступ заблокирован / авз сразу после заупска закрывается / обновить систему пока нет технической возможности
ювс http://rghost.ru/38503979
рсит http://rghost.ru/38503989

safety · 06.06.2012, 09:05

да, похоже неслабо заражена машина, сейчас внимательно проверю по образу

safety · 06.06.2012, 09:11

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\JBHG.EXE
addsgn 9252777A156AC1CC0BE4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 tr
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINYHXHU.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINBEVG.EXE
addsgn 9252772A136AC1CC0BB4574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/Agent.HLU [NOD32]
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINBEVG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\JBHG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINYHXHU.EXE
addsgn 925277FA1D6AC1CC0B64594E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/PSW.Agent.NRU [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\W420C3.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\W420C3.EXE
addsgn 925277FA3E6AC1CC0B647A4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/SpamTool.Agent.NET [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINCQWVEE.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINCQWVEE.EXE
delall %SystemDrive%\AUTORUN.INF
delall %Sys32%\LLWUUTUD.DLL
chklst
delvir
deltmp
delnfr
regt 5
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
----------
новый образ автозапуска.
высокая вероятность файлового заражения Sality +Kido

safety · 06.06.2012, 09:16

возможно понадобится Salitykiller
скачать отсюда
http://rghost.ru/38504069
+
kidokiller
http://rghost.ru/38504080

pro-pan · 06.06.2012, 09:29

новый лог ювс http://rghost.ru/38504135

safety · 06.06.2012, 09:34

ясно. теперь ваше слово - товарищ SalityKiiler

.

pro-pan · 06.06.2012, 10:12

SalityKiiler - множественное заражение экзешников (кажется даже всех).. вроде все полечил
новая проверка SalityKiiler (занова загруженным) - чисто
новый лог ювс (занова распакованным) http://rghost.ru/38504414

....

удалось собрать лог авз http://rghost.ru/38504504

safety · 06.06.2012, 10:29

новое заражение,
проверь еще раз Salitykiller

Vvvyg · 06.06.2012, 11:53

Цитата:

Сообщение от safety

проверь еще раз Salitykiller

Думаю, бесполезно. Часть хрени в C:\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP тоже относится к Sality, а Salitykiller это явно не опознаёт. Надо с лечебного загрузочного диска пролечивать, от Eset/Dr. Web/Kaspersky - по вкусу. Или с LiveCD с CureIt!.

Код:

Полное имя                  C:\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\VVKFJN.EXE
Имя файла                   VVKFJN.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] 
                            
www.virustotal.com          2012-05-31 [2012-05-16 09:18:27 UTC ( 2 weeks, 6 days ago )]
McAfee                      Spam-Mailbot.z
K7AntiVirus                 Backdoor
TheHacker                   Posible_Worm32
VirusBuster                 Trojan.Agent!gX2ijWLODBo
NOD32                       probably a variant of Win32/Agent.HLU
F-Prot                      W32/Heuristic-170!Eldorado
Symantec                    Trojan.Pramro
Norman                      Pramro.B
TotalDefense                Win32/Maazben!generic
TrendMicro-HouseCall        TROJ_PRAMRO.SMI
Avast                       Win32:Sality-GR
ClamAV                      Trojan.Mazben-3
Kaspersky                   HEUR:Backdoor.Win32.Generic
BitDefender                 Generic.Malware.FYdld.99D23F30
SUPERAntiSpyware            Trojan.Agent/Gen-FraudPack
Sophos                      Mal/TinyDL-T
Comodo                      Heur.Suspicious
F-Secure                    Generic.Malware.FYdld.99D23F30
DrWeb                       Trojan.DownLoad2.43767
VIPRE                       Trojan.Win32.Generic!BT
AntiVir                     BDS/Backdoor.Gen
TrendMicro                  TROJ_PRAMRO.SMI
McAfee-GW-Edition           Spam-Mailbot.z
Emsisoft                    Virus.Win32.Sality!IK
Jiangmin                    Backdoor/Mazben.ar
Antiy-AVL                   Backdoor/Win32.Mazben.gen
Microsoft                   TrojanProxy:Win32/Pramro.F
ViRobot                     Backdoor.Win32.A.Mazben.12970.D[UPX]
GData                       Generic.Malware.FYdld.99D23F30
Commtouch                   W32/Heuristic-170!Eldorado
AhnLab-V3                   Trojan/Win32.CSon
VBA32                       Malware-Cryptor.Zhelatin.Net
PCTools                     Trojan.Pramro
Ikarus                      Virus.Win32.Sality
Fortinet                    W32/MailBot.Z!tr
AVG                         unknown virus Win32/DH{RCAhJCIj}
Panda                       Generic Malware
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] 
Размер                      11776 байт
Создан                      21.05.2012 в 18:09:52
Изменен                     21.05.2012 в 18:09:52
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
pid = 3808                  BOSS\ROVER
CmdLine                     C:\DOCUME~1\ROVER\LOCALS~1\Temp\vvkfjn.exe
Процесс создан              18:09:52 [2012.05.21]
С момента создания          00:49:20
parentid = 1784             
CLOSE_WAIT                  10.128.255.151:1366 <-> 92.61.154.39:80
LISTEN                      0.0.0.0:7527
SHA1                        8EF6AFD6826AE6C48ECBF09FFDC422782D60B774
MD5                         4A7CE343EF07FB39DDDD3C6B91C85272
                            
Образы                      EXE и DLL
VVKFJN.EXE                  C:\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP
                            
Загруженные DLL             НЕИЗВЕСТНЫЕ
SYST5.DLL                   C:\WINDOWS\SYSTEM32

И эта библиотека - SYST5.DLL мне не очень нравится.

safety · 06.06.2012, 12:11

тут вариант такой: пролечить SalityKiller, затем установить антивирус, обновить базы и выполнить полное сканирование. Хотя, согласен, что из под Live.CD очистка была бы надежнее. (как бы не пришлось к ней возвратиться в конце концов).

Vvvyg · 06.06.2012, 12:15

В случае Sality, как показывает опыт, лучше уж сразу с LiveCD. И все внешние носители тоже пролечивать.

pro-pan · 06.06.2012, 15:37

новый лог ювс (после полной проверки AVIRA) http://rghost.ru/38509112

Vvvyg · 06.06.2012, 16:31

О, даже SP3 с обновлениями накатили? Теперь порядок, чистку в uVS, MBAM после тотального скана Авирой можно и не делать.

pro-pan · 06.06.2012, 16:31

мбам http://rghost.ru/38510334
чего-то мне не очень лог мбам нравится

Vvvyg · 06.06.2012, 16:33

Только хвосты от Sality в реестре, удалите:

Код:

Обнаруженные ключи в реестре:  2
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Действие не было предпринято.

06.06.2012, 10:12	#157 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	SalityKiiler - множественное заражение экзешников (кажется даже всех).. вроде все полечил новая проверка SalityKiiler (занова загруженным) - чисто новый лог ювс (занова распакованным) http://rghost.ru/38504414 .... удалось собрать лог авз http://rghost.ru/38504504 Последний раз редактировалось pro-pan; 06.06.2012 в 10:27.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

06.06.2012, 08:57	#151 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0035 - жуткие тормоза при работе с интернетом / некоторые файлы, полученные по почте, н еоткрываются / на сайты производителей антивирусов доступ заблокирован / авз сразу после заупска закрывается / обновить систему пока нет технической возможности ювс http://rghost.ru/38503979 рсит http://rghost.ru/38503989

06.06.2012, 09:05	#152 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, похоже неслабо заражена машина, сейчас внимательно проверю по образу

06.06.2012, 09:16	#154 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	возможно понадобится Salitykiller скачать отсюда http://rghost.ru/38504069 + kidokiller http://rghost.ru/38504080

06.06.2012, 09:29	#155 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	новый лог ювс http://rghost.ru/38504135

06.06.2012, 09:34	#156 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ясно. теперь ваше слово - товарищ SalityKiiler .

06.06.2012, 10:29	#158 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	новое заражение, проверь еще раз Salitykiller

06.06.2012, 12:11	#160 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	тут вариант такой: пролечить SalityKiller, затем установить антивирус, обновить базы и выполнить полное сканирование. Хотя, согласен, что из под Live.CD очистка была бы надежнее. (как бы не пришлось к ней возвратиться в конце концов).

06.06.2012, 12:15	#161 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	В случае Sality, как показывает опыт, лучше уж сразу с LiveCD. И все внешние носители тоже пролечивать.

06.06.2012, 15:37	#162 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	новый лог ювс (после полной проверки AVIRA) http://rghost.ru/38509112

06.06.2012, 16:31	#163 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	О, даже SP3 с обновлениями накатили? Теперь порядок, чистку в uVS, MBAM после тотального скана Авирой можно и не делать.

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

06.06.2012, 16:31	#164 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам http://rghost.ru/38510334 чего-то мне не очень лог мбам нравится