Reply to this topicStart new topicStart Poll

Страницы: (2) 1 2 
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Он просто тупо вырубает мне комп!Итак по порядку.
Перед тем как перезагрузится выскакивает окошко приложение будет закрыто(Win32Service).Жму не отправлять,через пару секунд выскакивает - системе необходимо перезагрузится и отсчёт около 1 минуты.Там же написано - это вызвано непредвиденной остановкой службы удалённый вызов процедур(RPC). И ещё чтото про NT AUTORHITY / System.
Так же перед этим или после этого, касперский находит два вируса
троянская программа Trojan.Win32.Qhost Файл: C:\WINDOWS\system32\drivers\etc\hosts

и
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\WINDOWS\System32\f.exe//PE_Patch.Morphine//Morphine//UPX

Обоих удаляю ,но как пониматие через какоето время они появляются вновь(я и несколько раз полную проверку делал,всё равно появляются.).

Вот и лог на всякий пожарный


ric1984
дата: [ i ]
  • *
  • Профессионал
  • Репутация: 73
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
а твой антивирусник, сам не под вирусом.
Троян обычно exe файлы поражает.
попробуй другой поставь, и проверь.
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Другой это какой?Nod32 к примеру?

Поменял своё место гад,теперь обнаружен был здесь
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\System Volume Information\_restore{BDCD7F7B-A781-4378-A098-1CAC6D46516D}\RP367\A0665982.exe//PE_Patch.Morphine//Morphine//UPX

По той же схеме -приложение будет закрыто-найдено два вируса-минута до перезагрузки.

do-do
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 349
  • Статус: Поболтаем?
  • Member OfflineМужчинаСвободен
Гм....видно винда то крякнутая :) SRVANY.EXE+resetservice.exe (reset5.dll) (но это нормально)


Не вирус :) C:\WINDOWS\system32\drivers\etc\hosts
текстовый файл (можешь в него глянуть в блокноте)

троянская программа Backdoor.Win32.SdBot.gen
Похоже просто Кряк Игрушки Morphine (?)


В логе все нормально

Запуститьс LiveCD проверь последним антивирусом (у drweb есть утила кумулятивная), проверь диск на ошибки...реестр

Vertigo
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 1326
  • Статус: The easy day was yesterday.
  • Member OfflineМужчинаЖенат
Вирус W32.Donk. Пофикси это:
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe
Сделай повторный лог, проверь на наличие данной записи.
Сделай полную проверку антивирусом в безопасном режиме.
Можно с LiveCD проверится, как do-do любит.
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Я игры то такой не знаю (Morphine)

O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe - пофиксил- исчезла.
Пошёл полностью проверятся.
do-do
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 349
  • Статус: Поболтаем?
  • Member OfflineМужчинаСвободен
Я еще AVZ люблю :)

Гм.. действительно вирь :) прозевал

И старый какой :) аж от 2004 года ..и файл hosts калечит :)
QUOTE
W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.

При запуске W32.Donk.S выполняет следующие действия:

1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe

2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:

• w3.org
• geocities.com
• freewebpage.org
• fortunecity.co.uk
• angelfire.com
• warez.com
• sms.ac
• isohunt.com
• wincustomize.com
• ftp.as.ro
• dot.tk
• irc.dal.net
• irc.undernet.org
• hotmail.com
• msn.com
• google.com
• yahoo.com


Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.

Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т

Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:


127.0.0.1  www.trendmicro.com                         
127.0.0.1  trendmicro.com                             
127.0.0.1  rads.mcafee.com                           
127.0.0.1  customer.symantec.com                     
127.0.0.1  liveupdate.symantec.com                   
127.0.0.1  us.mcafee.com                             
127.0.0.1  updates.symantec.com                       
127.0.0.1  update.symantec.com                       
127.0.0.1  www.nai.com                               
127.0.0.1  nai.com                                   
127.0.0.1  secure.nai.com                             
127.0.0.1  dispatch.mcafee.com                       
127.0.0.1  download.mcafee.com                       
127.0.0.1  www.my-etrust.com                         
127.0.0.1  my-etrust.com                             
127.0.0.1  mast.mcafee.com                           
127.0.0.1  ca.com                                     
127.0.0.1  www.ca.com                                 
127.0.0.1  networkassociates.com                     
127.0.0.1  www.networkassociates.com                 
127.0.0.1  avp.com                                   
127.0.0.1  www.kaspersky.com                         
127.0.0.1  www.avp.com                               
127.0.0.1  kaspersky.com                             
127.0.0.1  www.f-secure.com                           
127.0.0.1  f-secure.com                               
127.0.0.1  viruslist.com                             
127.0.0.1  www.viruslist.com                         
127.0.0.1  liveupdate.symantecliveupdate.com         
127.0.0.1  mcafee.com                                 
127.0.0.1  www.mcafee.com                             
127.0.0.1  sophos.com                                 
127.0.0.1  www.sophos.com                             
127.0.0.1  symantec.com                               
127.0.0.1  securityresponse.symantec.com             
127.0.0.1  www.symantec.com

2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:

• SST
• database
• sql
• Root
• admin
• Guest
• home
• Administrateur
• Verwalter
• User
• Default
• administrator
• Administrator

Пароли:

• 101
• pw
• mypass
• pw123
• admin123
• 557
• mypc
• love
• pass
• pwd
• Login
• login
• owner
• xxx
• home
• zxcv
• yxcv
• qwer
• secret
• asdf
• pc
• win
• temp123
• temp
• test123
• test
• abc
• aaa
• a
• sex
• god
• root
• administrator
• alpha
• 007
• 123abc
• 0
• 2003
• 2002
• xp
• enable
• 123asd
• super
• Internet
• computer
• server
• 123qwe
• sybase
• oracle
• abc123
• abcd
• database
• passwd
• pass
• 111
• 54321
• 654321
• 123456789
• 1234567
• 123
• 12
• 1
• Password
• Admin
• admin
• 1234
• 12345
• 12345678
• letmein
• qwerty
• 7777
• 1111
• asd#321
• 6969
• 123456
• password

В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:

• C:\Documents and Settings\All Users\Start Menu\Programs\Startup
• C:\WINDOWS\Start Menu\Programs\Startup
• C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINDOWS\Start Menu\Programs\Startup
• \Documents and Settings\All Users\Start Menu\Programs\Startup

3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:

• %Temp%\upd32a.exe
• %Temp%\kspd32a.exe
• %System%\navinst.exe

4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.


иногда помогают мелкие утилки антивирусные ..например
http://us.mcafee.com/virusInfo/default.asp?id=stinger

Ксати Почисти файл hosts

Оставь только строчку
127.0.0.1 localhost

Это сообщение отредактировал do-do - 09-03-2008 - 21:11
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Аргх....
После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!).Все проблемы как рукой сняло).В связи с этим вопрос: аудио кодеки на интегрированную карту без разницы какие ставить?Да и где их найти?
Vertigo
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 1326
  • Статус: The easy day was yesterday.
  • Member OfflineМужчинаЖенат
QUOTE
После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!)

Гхыгс...
А чо так? Удалял че-нить во время проверки?
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
во время проверки?да вроде нет.Ничего не нашло.По кодекам ответьте пожалуйста,а то я думал легко найду,а ни фига не подходит что-то.
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Наверное я неправильно выразился.НЕ кодеки,а ДРАЙВЕРА.Ну или на интегрированную нет дров?А то она у меня теперь только пищит...
Vertigo
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 1326
  • Статус: The easy day was yesterday.
  • Member OfflineМужчинаЖенат
На сайте производителя материнской платы.
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Всё разрешилось.Спасибо.
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Я щас заплачу cry_1.gif ... Он вернулся!!!! А самое обидное что касперского установить не могу.Как-то я намудрил при последней установке,что он и не установлен и при повторной установке ошибку выдаёт.
Какой ещё антивирус можно установить чтоб хоть както помогло?
вот лог...Мне сразу не понравилось всё с 01...Что дальше делать то?
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
И как этим гадам из локальной сети полностью запретить заход на мой компьютер?Т.е. они как бы могут заходить,но не видят никаких расшаренных ресуров и уходят,а могут ведь и нагадить наверное...
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
Сразу оговорюсь, что это моё субъективное мнение, но я не доверяю Касперскому и, тем более Нортону. Бывали прцеденты. У меня стоит Avast. Отличная штука. Ловит на входе. И хакерские атаки отражает. Попробуй поставить его. У меня недавно был аналогичный случай. Человек попросил помочь. Стрёх заходов не смог побороть заразу. Тебе надо проверить свой HDD с другого компа. Вирусы не лечи - без оглядки удаляй файлы. Важные файлы забэкапь на всякий случай. Потом попытайся загрузиться у себя на компе. Возможно потребуется восстановление винды. Если всё пройдёт удачно, то поставь AVAST и не отключай его автоматическое обновление. Не экономь на этом трафике - он важен. И проверяй антивирем на входе всё, что пытаешься засунуть в свой комп. Также проверяй скачанные файлы перед запуском и архивы перед распаковкой.
И ещё. Ты всё переустановил и опять появилась зараза? Вспомни детально, что ты в комп вставлял (флэшки, диски и т.п.). Возможно где-то там притаилась болезнь. перепроверь всё своё хозяйство на здоровом компе.
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Кажись этот вирус ещё наглее чем предидущий...Не даёт запуститься никакому setup,за ОЧЕНЬ редким исключением.Кажись всё опять к переустановке идёт,если ничего выжать из лога не удасться...
Vertigo
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 1326
  • Статус: The easy day was yesterday.
  • Member OfflineМужчинаЖенат
Огромное количество червей.

W32/Sdbot-ACK:
C:\WINDOWS\System32\libsys32.exe
C:\WINDOWS\System32\libsys32.exe

Изменения, сделанные им в hosts:
O1 - Hosts: 82.146.60.44 postbank.de
O1 - Hosts: 82.146.60.44 www.postbank.de
O1 - Hosts: 82.146.60.44 banking.postbank.de
O1 - Hosts: 82.146.60.44 direkt.postbank.de
O1 - Hosts: 82.146.60.44 www.smile.co.uk
O1 - Hosts: 82.146.60.44 smile.co.uk
O1 - Hosts: 82.146.60.44 cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.co.uk
O1 - Hosts: 82.146.60.44 cahoot.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.com
O1 - Hosts: 82.146.60.44 co-operativebank.com
O1 - Hosts: 82.146.60.44 personal.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.co.uk
O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk
O1 - Hosts: 82.146.60.44 www.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.touchclarity.com
O1 - Hosts: 82.146.60.44 hsbc.co.uk
O1 - Hosts: 82.146.60.44 www.hsbc.co.uk
O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com
O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com
O1 - Hosts: 82.146.60.44 lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 www.lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 lloydstsb.com
O1 - Hosts: 82.146.60.44 www.lloydstsb.com
O1 - Hosts: 82.146.60.44 mi.lloydstsb.com
O1 - Hosts: 82.146.60.44 www.woolwich.co.uk
O1 - Hosts: 82.146.60.44 woolwich.co.uk
O1 - Hosts: 82.146.60.44 www.deutsche-bank.de
O1 - Hosts: 82.146.60.44 deutsche-bank.de
O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de
O1 - Hosts: 82.146.60.44 www.anbusiness.com
O1 - Hosts: 82.146.60.44 anbusiness.com
O1 - Hosts: 82.146.60.44 www.abbeyinternational.com
O1 - Hosts: 82.146.60.44 www.barclays.com
O1 - Hosts: 82.146.60.44 barclays.com
O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com
O1 - Hosts: 82.146.60.44 offshore.hsbc.com

NANPY-A WORM:
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe

KASSBOT-C WORM:
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe

Все тот же SDBOT-ACK WORM:
O4 - HKLM\..\Run: [Microsoft System Checkup] libsys32.exe
O4 - HKLM\..\RunServices: [Microsoft System Checkup] libsys32.exe
O23 - Service: NT login service (ntlogin32) - Unknown owner - C:\WINDOWS\System32\libsys32.exe

Старый знакомый DONK:
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe

Но фиксим только это:
O9 - Extra button: Cтатистика Веб-Антивиру&# 1089;а - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing)

Качаем (), создаем загрузочный диск из образа, загружаемся с него. После загрузки BartPE вместо кнопки Пуск, появится кнопка GO, запусти, найди Касперского и запусти его с полной проверкой компьютера.

Все, что нужно, Касперским удаляешь, делаешь лог, выкладываешь сюда.
do-do
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 349
  • Статус: Поболтаем?
  • Member OfflineМужчинаСвободен
Блин ..весело живете :) Мне бы хоть одного виря у себя на компе увидать.


knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Да где я их подхватить то успел?Два дня прошло после переустановки.На всё выше перечисленное уйдёт какоето время.
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Вообщем вот...
Vertigo
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 1326
  • Статус: The easy day was yesterday.
  • Member OfflineМужчинаЖенат
Всё отлично. Сейчас в темпе вальса ставь какой-нибудь сетевой экран, например: KIS (тогда KAV удалить), Outpost (только у него проблемы при работе с hostingfailov.com), Comodo и т.д.
Антивирус, кстати, сейчас нормально работает?

Это сообщение отредактировал Vertigo - 13-03-2008 - 22:51
Vertigo
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 1326
  • Статус: The easy day was yesterday.
  • Member OfflineМужчинаЖенат
Еще.
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
Если процессор не поддерживает HyperThreading, то это можно убрать, т.к. оно замедляет работу системы. Какой процессор?

Это сообщение отредактировал Vertigo - 13-03-2008 - 22:52
knoxvilllle
дата: [ i ]
  • *
  • Любитель
  • Репутация: 33
  • Статус: Давай пообщаемся!
  • Member OfflineМужчинаСвободен
Процессор - athlon 1800 32х(вроде).
Установил KIS 7.0 ...
Пока всё тихо ninja.gif .
Правда
дата: [ i ]
  • Group Icon
  • Грандмастер
  • Репутация: 2862
  • Статус:
  • Member OfflineЖенщинаЗамужем
К Vertigo:Не стоит ли остановить этот процесс:
C:\WINDOWS\system32\svchost.exe -k LocalService
Удалённый реестр...
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)

Страницы: (2) 1 2

Reply to this topic Fast ReplyStart new topicStart Poll0


Рекомендуем почитать также топики:

Нужна помощь по скриптам

RED ALERT 3

Проблема с The Bat!

Правила форума Nokia.

Как устанавливать дополнения




>