Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Адрес заблокирован , IP: 193.105.207.10:80

RSS
 
Андрей Кузнецов
Андрей Кузнецов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 30.05.2010
Размещено 30.05.2010 20:15:43
Столкнулся с проблемой: примерно каждые 30 минут вылазиет вот такая табличка Nod 32.
Сканировал компьютер на вирусы ничего не нашел.
Вот логи:
- hijackthis.log
-SysInspector-MICROSOF-7208F0-100530-2004.xml

Ответы

Пред. 1 ... 5 6 7 8 9 ... 13 След.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 02.07.2010 14:51:04
Поехали...

В программе hijackthis поставить галочки напротив
F2 - REG:system.ini: Shell=Explorer.exe
O20 - Winlogon Notify: acpiz - C:\WINDOWS\
O23 - Service: Service Management Multimedia Codecs (Chipmunk) - Unknown owner - C:\WINDOWS\

и нажать Fix checked!

Далее проследовать в папку c:\windows\tasks и удалить все файлы At***.job

Найти файлы:
C:\Documents and Settings\All Users\Application Data\fccv2UEN.exe
C:\WINDOWS\Fonts\oUPVD.com
c:\windows\system32\les32.exe

Запаковать в архив с паролем infected и прислать мне на [email protected]
Удалите данные файлы!

Перезагрузите ПК, установите обновления для Java http://javadl.sun.com/webapps/download/AutoDL?BundleId=39494
Сообщите о результате.
 
makos
makos
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 19.06.2010
Размещено 02.07.2010 16:43:44
Файлов не нашел:
C:\Documents and Settings\All Users\Application Data\fccv2UEN.exe
C:\WINDOWS\Fonts\oUPVD.com
c:\windows\system32\les32.exe

Проблема осталась. Вот логи:
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 02.07.2010 16:51:09
Цитата
makos пишет:
Проблема осталась. Вот логи:

Написал рекомендации в личку!
 
Олег
Олег
Пользователь
Сообщений: 113
Баллов: 90
Регистрация: 03.07.2010
Размещено 03.07.2010 18:10:39
Похожая пробема!



Вот креш-логи:
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 03.07.2010 18:25:06
Цитата
Олег пишет:
Вот креш-логи:

Найте следующие файлы:
C:\DOCUME~1\B4C6~1\LOCALS~1\Temp\Iq1.exe
C:\WINDOWS\Ijocyb.exe
C:\WINDOWS\system32\csrcs.exe
c:\windows\system32\sshnas21.dll

Поместить в архив, установить пароль infected и прислать мне на [email protected]

После в программе hijackthis установить галочки напротив

R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\. .\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\. .\Run: [EWABQAF7KL] C:\DOCUME~1\B4C6~1\LOCALS~1\Temp\Iq1.exe
и нажать Fix Checked

Удалить файлы

C:\DOCUME~1\B4C6~1\LOCALS~1\Temp\Iq1.exe
C:\WINDOWS\Ijocyb.exe
C:\WINDOWS\system32\csrcs.exe
c:\windows\system32\sshnas21.dll

Также очистите временные файлы и папки.

Перезагрузите ПК. Сообщите о результате.
 
Олег
Олег
Пользователь
Сообщений: 113
Баллов: 90
Регистрация: 03.07.2010
Размещено 03.07.2010 19:04:38
а можно подсказать, где есть файлы временной папки!

C:\WINDOWS\system32\csrcs.exe - не могу найти, есть C:\WINDOWS\system32\csrss.exe
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 03.07.2010 19:11:48
Цитата
Олег пишет:
а можно подсказать, где есть файлы временной папки!

c:\Documents and Settings\46B478(Текущий юзер)\Local Settings\Temp\ (Возможно папка скрыта - Нужно включить отображение скритых файлов)


Цитата
Олег пишет:
C:\WINDOWS\system32\csrcs.exe - не могу найти, есть C:\WINDOWS\system32\csrss.exe

Вам нужно найти именно C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\csrss.exe - нормальный файл, его удялять не надо.
Если файла C:\WINDOWS\system32\csrcs.exe нет, то не ищите.
Изменено: zloyDi - 03.07.2010 19:15:44

 
Олег
Олег
Пользователь
Сообщений: 113
Баллов: 90
Регистрация: 03.07.2010
Размещено 03.07.2010 19:18:11
Не удаляется ни один файл!
вот что пишет:

 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 03.07.2010 19:24:07
Делаем следующее

программе hijackthis установить галочки напротив
O4 - HKLM\. .\Run: [ctfmon.exe] ctfmon.exe

и нажать Fix Checked


Далее качаем по ссылке утилиту http://rghost.ru/1966783
Скачать, обновить, выполнить быстрое сканирование, удалите все что предложит программа, лог после
сканирования прислать для анализа.

Перезагрузить пк, сообщить о результате.
Изменено: zloyDi - 03.07.2010 19:25:30

 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 03.07.2010 19:29:19
В файлах что прислали

Iq1\csrss.exe - файл чист(нужный файл для системы!)
Iq1\Ijocyb.exe - модифицированный Win32/Kryptik.FHI троянская программа (уже определяется)
Iq1\Iq1.exe - модифицированный Win32/Kryptik.FHI троянская программа (уже определяется)
Iq1\sshnas21.dll -будет добавлен в следующе обновление
 
Пред. 1 ... 5 6 7 8 9 ... 13 След.
Читают тему