Ошибка создания временного файла. , ESS 4.2

RSS

Сообщений: 12

Баллов: 6

Регистрация: 30.08.2011

Размещено 20.10.2011 09:18:32

;uVS v3.71 [Windows 5.1.2600 SP3 Service Pack 3]
; Подозрительные и вирусы <=

ПОДОЗРИТ. | D:\PROFIT\ARP\ARP.EXE
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\EHDRV.SYS
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\FBCLIENT.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\MSVCP71.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\MSVCR71.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\9.00\LICENSING\PE\MSVCR71.DLL
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\RSERVER30\NEWTSTOP.DLL
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
ПОДОЗРИТ. | GOLAC\\\TORNADO.EXЕ

2 последних меня смущают как то..

Ответы

Пред. 1 2

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 20.10.2011 17:09:02

Цитата
Pepex пишет: а что делает zoo %Sys32%\RSERVER30\NEWTSTOP.DLL оно мне радмина убьет?? или эта ДЛЛ к радмину не относится??

Относиться, но команда Zoo - просто снимает копию с файла для карантина.
Это в целях профилактической проверки.
Но можно и без неё. ( скрипт с перезагрузкой - это команда restart )
* После выполнения сделайте новый образ автозапуска.
+
сделайте дополнительно лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
пробный период для монитора игнорируйте, только сканер нужен.

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemRoot%\FGTHS.SYS bl 53BAC9C10D479965FB348DE086559AED 47648 addsgn 943FA75B8D737FB56DE766709CC601CF43592E1F9405E08784C3C0B855D2704C22FF9DD83E5577A2CD676278ACFDA3633BD90F2796D55AC7C69143C920ECC999 8 Win32/Rootkit.Kryptik.DP [NOD32] chklst delvir zoo F:\GOLAC\\\\TORNADO.EXE delall F:\GOLAC\\\\TORNADO.EXE zoo GOLAC\\\TORNADO.EXЕ delall GOLAC\\\TORNADO.EXЕ deltmp delnfr regt 5 regt 18 czoo restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\FGTHS.SYS
bl 53BAC9C10D479965FB348DE086559AED 47648
addsgn 943FA75B8D737FB56DE766709CC601CF43592E1F9405E08784C3C0B855D2704C22FF9DD83E5577A2CD676278ACFDA3633BD90F2796D55AC7C69143C920ECC999 8 Win32/Rootkit.Kryptik.DP [NOD32]

chklst
delvir
zoo F:\GOLAC\\\\TORNADO.EXE
delall F:\GOLAC\\\\TORNADO.EXE
zoo GOLAC\\\TORNADO.EXЕ
delall GOLAC\\\TORNADO.EXЕ
deltmp
delnfr
regt 5
regt 18
czoo
restart

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected], [email protected];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infect

Изменено: RP55 RP55 - 20.10.2011 17:10:22

Сообщений: 12

Баллов: 6

Регистрация: 30.08.2011

Размещено 20.10.2011 17:32:20

вот логи.

папка zoo к сожалению пуста... т.к. файл FGTHS.SYS забрал в карантин антивирус ) подозреваю его уже автоматом послал в есет.

Прикрепленные файлы

mbam-log-2011-10-20 (16-27-37).rar (872 Б)
new.rar (171 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 20.10.2011 23:12:33

Цитата
Pepex пишет: Pepex

mbam-log
Зараженные модули в памяти:
c:\WINDOWS\system32\rserver30\newtstop.dll (Backdoor.Bot) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Backdoor.Bot) -> Bad: (C:\WINDOWS\system32\rserver30\newtstop.dll) Good: () -> No action taken.

Файл newtstop.dll вызывает сомнение.
http://www.virustotal.com/file-scan/report.html?id=366265a83bd756cc1711055b9b7ba55f9ef1403f541e238c0d69efa84b052fa1-1319047336
Смотрите сами, как с ним поступить.

Всё остальное - обнаруженное в логе mbam удалите.

В остальном: активных вирусов не обнаружено.

-------------------------------------------------
Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic751/
-------------------------------------------------
Кроме того, стоит проверить все машины в локальной сети - и установить на них обновления OC.

Изменено: RP55 RP55 - 20.10.2011 23:16:19

Сообщений: 12

Баллов: 6

Регистрация: 30.08.2011

Размещено 21.10.2011 11:08:58

заменю этот файл из инсталятора на всякий пожарный. Спасибо большое за помощь.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.10.2011 11:45:41

Цитата
Pepex пишет: заменю этот файл из инсталятора на всякий пожарный. Спасибо большое за помощь.

врядли он есть в инсталляторе. Это крэк к радмин 3.

[ Как создать образ автозапуска? ]

Сообщений: 12

Баллов: 6

Регистрация: 30.08.2011

Размещено 21.10.2011 13:05:53

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 21.10.2011 19:19:51

Цитата
Pepex пишет: Спасибо большое за помощь.

Всегда рады помочь!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.10.2011 22:00:40

RP55,
сигнатура в скрипт добавляется с ошибкой.
возможно некорректная обработка длинных строк на форуме.
в буфере обмена появляются лишние знаки "-", и они переносятся в окно скрипта.
в случае скриптов с добавлением сигнатур (на этом форуме) лучше сохранять скрипт в файл,
и рекомендовать его выполнять из файла.

если же командные строки скрипта короткие, то можно рекомендовать
выполнение из буфера обмена.
---------------
по крайней мере, при оформлении скрипта как цитату - эти знаки точно добавляются,
при оформлении как код, надо проверить.

Изменено: santy - 21.10.2011 22:05:02

[ Как создать образ автозапуска? ]

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 21.10.2011 22:58:31

Цитата
santy пишет: Cигнатура в скрипт добавляется с ошибкой.

Да...
Значит из файла будут.

Пред. 1 2