Насколько это опасно?

Информация и защита от вирусов

Модератор: YoungMax

Насколько это опасно?

Сообщение D.Rash » 02 июл 2010 10:55

Подскажите-Насколько это опасно?


1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=208, имя = "f7524_xp.exe", полное имя = "\Device\HarddiskVolume2\Documents and Settings\Admin\Local Settings\Temp\A49D24A7-BD836008-2361DAA9-3B0FBF0D\f7524_xp.exe"
Поиск маскировки процессов и драйверов завершен

На работе системы ,вроде не отражается,есть ли смысл прогнать ещё и HiJackThis,и выложить в тему логи как в правилах указано?

WIN XP SP3 , Celeron 1,6
73!
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Насколько это опасно?

Сообщение Meister » 02 июл 2010 12:03

D.Rash писал(а):,есть ли смысл прогнать ещё и HiJackThis,и выложить в тему логи как в правилах указано?

Однозначно - да.
Начни день с надежды, а заверши с благодарностью
Просьба!
---
XXX: да, Винда — адская система!
YYY: это Линукс адская с его демонами. Винда - система христианская, там иконы и службы проводятся.
Аватара пользователя
Meister
Хранитель традиций
 
Сообщения: 3450
Зарегистрирован:
04 дек 2007 22:32
Откуда: Воронеж, Минская, Лес, 4-я ёлка слева

Re: Насколько это опасно?

Сообщение D.Rash » 02 июл 2010 16:47

Вот логи.
Вложения
virusinfo_syscure.zip
(20.69 Кб) Скачиваний: 345
virusinfo_syscheck.zip
(21.29 Кб) Скачиваний: 342
hijackthis.rar
(2.69 Кб) Скачиваний: 362
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Насколько это опасно?

Сообщение GMax » 02 июл 2010 18:16

В твоих логах этот пункт теперь такой:
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен


Поставил Касперского?
GMax
Наблюдатель
Наблюдатель
 
Сообщения: 20
Зарегистрирован:
28 июн 2009 20:56

Re: Насколько это опасно?

Сообщение D.Rash » 02 июл 2010 19:00

GMax писал(а):В твоих логах этот пункт теперь такой:
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен


Поставил Касперского?

Давно стоит-работает.
CureIt недавно поставил,натравливал на чужой полумёртвый комп через флешку.Свой комп проверил по ходу пьесы.Каспер возмущался каждые 20 минут.
"обнаружено:PDM.Hidden object"
Погуглил-не проблема.Решилось перезагрузкой(комп мой на раздаче двое суток стоял и не перезагружал я его после проверки CureIt)
Может здесь "собака порылась"?И AVZ следы его деятельности-присутствия нашёл?А после reset всё нормально стало?Я пока скрипты выполнял перегружался пару раз.А до этого-два дня комп пахал(я уже писал выше).
73!
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Насколько это опасно?

Сообщение YoungMax » 02 июл 2010 19:21

Логи не смотрел, посмотрю позже, но тк файл в Temp можно грохать сразу.
И,да, возможно это и от CureIt.
Лично я на винде делал так:
ctrl+r , вводим %temp%, Enter.
Выделяем все файлы и удаляем

После этого отключить каспера+ отключить восстановление системы
К тому же:
Пофиксить в HiJackThis
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

И скрипт в AVZ:
Код: Выделить всё
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
DeleteFile('C:\WINDOWS\System32\tssdis.exe');
DeleteFile('C:\WINDOWS\system32\psxss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSessDir','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\SubSystems','Posix');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Насколько это опасно?

Сообщение D.Rash » 02 июл 2010 19:44

-=YoungMax=- писал(а):Логи не смотрел, посмотрю позже, но тк файл в Temp можно грохать сразу.
И,да, возможно это и от CureIt.
Лично я на винде делал так:
ctrl+r , вводим %temp%, Enter.
Выделяем все файлы и удаляем

Вот спасибо,обязательно снесу,а вот может подскажешь как снести NOD32(на том полумёртвом компе).
Я там 9 троянов нашёл Dr.Web ом,хотел каспер поставить,установщик сообщает "удали nod-поставлю каспер"
Как я его только не убивал.
CureIt, Revo Uninstaller Pro 2.2.3 + Portable + RePack ,включал отображение скрытых файлов и папок-там вручную чистил что нашёл.
И естественно ,в первую очередь,через панель управления > установка,удаление программ.
Хотел поставить NOD32,чтоб потом снести вместе с ошмётками старого ,но инсталятор сообщил,что прог.уже установлена и всё.
системный поиск его уже не находит.
Собираюсь систему переставлять,там реестр наверно не похож уже ни на что,да и комп всё равно тупит.
Есть ещё ходы какие-нибудь?
73!
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Насколько это опасно?

Сообщение Diesel » 02 июл 2010 19:58

реестр чистить утилитками типа reg cleaner. Можно в принципе и скрипт написать для удаления NOD. Но Лчше юзать вот это - http://www.nod32.nl/download/tool/nod32removal.exe
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: Насколько это опасно?

Сообщение D.Rash » 02 июл 2010 20:04

Cпасибо!
Попробую.
73!
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Насколько это опасно?

Сообщение D.Rash » 07 дек 2011 06:36

Оживим тему.
Если надо могу создать новую.
Суть проблемы:Ноутбук(Lenovo B550,win7,начальная,sp1,лиц.) зависает.Не всегда.Не открывает папки,не запускает прог.Невозможно выключить через кнопку пуск.
Отключается продолжительным нажатием.В безопасном режиме -вроде работает.Запускал каспера,AVZ.
Поудалял нечисть-через1-3 дня снова зависает.
Вот логи.Повозился но сделал в обычном режиме.(не в безопасном).
Помогайте кто-нибудь.
Вложения
hijackthis.rar
(2.71 Кб) Скачиваний: 319
virusinfo_syscheck.zip
(17.09 Кб) Скачиваний: 326
virusinfo_syscure.zip
(17.44 Кб) Скачиваний: 340
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Насколько это опасно?

Сообщение Diesel » 07 дек 2011 10:28

Для начала удалите хвосты от макафи. Насколько я понял, теперь вместо него стоит каспер?
Желательно перед сбором логов закрыть всякие скайпы, спутники майл ру и так далее.
Если не затруднит - логи в безопасном режиме тоже сделайте..
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: Насколько это опасно?

Сообщение D.Rash » 08 дек 2011 02:26

Diesel-спасибо за помощь.

Макафи удалил,он стоял вместе с касперским.Конфликтов не было.
у скайпа выключил"Запуск с win",спутник мейл снёс вообще.
Потом зачистка CCleaner-ом.
Вот логи в "Безопасном режиме"и в обычном режиме.
файл virusinfo_cure.zip. тоже был создан для обоих режимов.Если нужно-загружу.
Вложения
virusinfo_syscure.zip
лог безопасного режима
(10.77 Кб) Скачиваний: 326
virusinfo_syscheck.zip
лог безопасного режима
(10.74 Кб) Скачиваний: 335
hijackthis.rar
лог безопасного режима
(2.54 Кб) Скачиваний: 314
virusinfo_syscure.zip
лог обычного режима
(17.38 Кб) Скачиваний: 329
virusinfo_syscheck.zip
лог обычного режима
(16.63 Кб) Скачиваний: 313
hijackthis.rar
лог обычного режима
(2.71 Кб) Скачиваний: 334
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Насколько это опасно?

Сообщение Diesel » 08 дек 2011 08:31

Давайте поступим следующим образом. Логи в безопасном режиме ничего особо страшного не показали, а вот в обычном режиме идет постоянная подмена PID процессов. Выгрузите касперского. Выполните скрипт
Код: Выделить всё
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID('{771C7324-DA80-49D3-8017-753B0AF60951}');
DelCLSID('{DF4F5AE4-E795-4C12-BC26-7726C27F71AE}');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
DelBHO('{219C3416-8CB2-491a-A3C7-D9FCDDC9D600}');
QuarantineFile('C:\Program Files\McAfee\VirusScan\NAIEvent.dll','');
DeleteFile('C:\Program Files\McAfee\VirusScan\NAIEvent.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После этого в менеджере процессов нужно остановить процесс по адресу C:\Program Files\Conexant\SAII\SmartAudio.exe.
Закройте все приложения(браузер, downloadmaster и тд ). Выполните повторные логи (в безопасном режиме уже не надо).
И пришлите virusinfo_cure.zip (На форум не надо аттачем вешать, лучше залейте на zalil.ru и ссылку пришлите)
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: Насколько это опасно?

Сообщение D.Rash » 08 дек 2011 17:07

"После этого в менеджере процессов нужно остановить процесс по адресу C:\Program Files\Conexant\SAII\SmartAudio.exe."
Если можно об этом поподробней.
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Насколько это опасно?

Сообщение Diesel » 08 дек 2011 17:35

Открыть менеджер процессов и завершить процесс под именем smartaudio.exe. В принципе, если успеете сегодня это сделать - то окончательный скрипт для чистки системы тоже сегодня напишу.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

След.

Вернуться в Защита от вирусов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3