Избавиться от вируса

Сейчас на форуме: asfa, bartolomeo (+6 невидимых)

Посл.ответ	Сообщение
Xlab0s Ранг: 39.7 (посетитель), 4thx Активность: 0.04↘0.01 Статус: Участник	Создано: 13 мая 2012 14:11 · Поправил: Xlab0s · Личное сообщение · #1 ПОсле вставки флешки обнаружил авторун вирус немогу избавиться от него в процессах невижу --> Отчёт virustotal.com<-- ломиться сюда WWW.BAIDU.COM непонятно с какого процесса в hosts прописал сайт 127.0.0.1 WWW.BAIDU.COM после перезагрузки слетела запись авторунремовер непомог как и антивирус от Microsoft сам зверёк http://rghost.ru/38057085 пасс на архив 123

reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 13 мая 2012 14:22 · Личное сообщение · #2 ну drweb cureit если не поможет грузить винт на независимой системе или вы хотите что бы вам его разобрали и сказали где что и как сидит в системе?
Xlab0s Ранг: 39.7 (посетитель), 4thx Активность: 0.04↘0.01 Статус: Участник	Создано: 13 мая 2012 14:30 · Поправил: Xlab0s · Личное сообщение · #3 ок щас залью drweb cureit если это оно --> Link <-- то заражён повидиму dll файл а может уже и всё перетравил =( на счёт http://www.baidu.com/ неуверен может даже др какой то вирус сидит ещё =( в снифере увидел поток конектов
Johnny Mnemonic Ранг: 22.4 (новичок), 19thx Активность: 0.02↘0 Статус: Участник	Создано: 13 мая 2012 14:41 · Личное сообщение · #4 ASPack распаковщик DecomAS лолъ
Xlab0s Ранг: 39.7 (посетитель), 4thx Активность: 0.04↘0.01 Статус: Участник	Создано: 13 мая 2012 16:51 · Поправил: Xlab0s · Личное сообщение · #5 BackDoor.Siggen.36816 --> Картинка<-- drweb cureit тоже неудаляет восстанавливаеться вирус Помогло ручное удаление после загрузки Win с CD Code: appmgmts.dll uninstall.exe за счёт чего он восстанавливался непонятно, если был в оперативке то антивирь почему его неубирал от туда больше всего интересует сливает ли он данные в интернет
redlord Ранг: 33.4 (посетитель), 24thx Активность: 0.02↘0 Статус: Участник	Создано: 13 мая 2012 17:14 · Поправил: redlord · Личное сообщение · #6 del
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 13 мая 2012 18:15 · Поправил: Flint · Личное сообщение · #7 Win32.HLLP.Protil.1 http://vms.drweb.com/virus/?i=1472810 у меня на виртуалке заразил расшаренные exe файлы. Также заменил два сервиса appmgmts.dll и qmgr.dll Xlab0s пишет: сливает ли он данные в интернет Определенно сливает, он даже скрины делает ----- Nulla aetas ad discendum sera
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 13 мая 2012 19:08 · Поправил: ELF_7719116 · Личное сообщение · #8 Xlab0s, пишет что объект в процессах не виден: http://vms.drweb.com/virus/?i=1472810 "Устраняет перехваты фукнций в SSDT (System Service Descriptor Table)" - но сам таблицу не хукает под себя?
Xlab0s Ранг: 39.7 (посетитель), 4thx Активность: 0.04↘0.01 Статус: Участник	Создано: 13 мая 2012 19:14 · Поправил: Xlab0s · Личное сообщение · #9 да в процессах он невиден был, я удалил только appmgmts.dll uninstall.exe перестали респауниться думаю что избавился наверно от вири --> qmgr.dll скан<-- - чистый
GMax Ранг: 23.2 (новичок), 8thx Активность: 0.02↘0 Статус: Участник	Создано: 13 мая 2012 21:50 · Поправил: GMax · Личное сообщение · #10 Worm.Win32.Fujack описание старой версии В новой версии червяк расширил функционал и обзавелся драйвером Расшифрованные строки: Code: [autorun] OPEN=%s\%s shell\open=ґтїЄ(&O) shell\open\Command=%s\%s %s shell\open\Default=1 shell\explore=ЧКФґ№ЬАнЖч(&X) shell\explore\Command=%s\%s %s ЫМКРКЕМ‡Тџќњпп™ќ™„њ™‘?„?™?л„ђп™‘„™™ии™™›пђњќмФ uninstall.exe Ђ Administrator Guest admin Root 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwerty baseball 2112 letmein 12345678 12345 ccc admin 5201314 qq520 1 12 123 1234567 123456789 654321 54321 111 000000 abc pw 11111111 88888888 pass passwd database abcd abc123 pass sybase 123qwe server computer 520 super 123asd 0 ihavenopass godblessyou enable xp 2002 2003 2600 alpha 110 111111 121212 123123 1234qwer 123abc 007 a aaa patrick pat administrator root sex god fuckyou fuck abc test test123 temp temp123 win pc asdf pwd qwer yxcv zxcv home xxx owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 хьH ёяя·ЁGрGп яя яi( 9%‰·ШЉќгю?†фњ® k]€ЉBХш‹Љчє‡№_Ьп·џЁуяя ¤ ” / / \ A \ . . \ . . \ AAAAAAAAAAAAAAAAAAEъђ‹фЃ>ђђђђtNNлф3Й3Ы±Бб ‹ьKБг #ыWу¤_ѓмpђђђђязAAAAAAA \ д Ф П П \ A \ . . \ . . \ ђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђђAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAМA \ №К«ЄЄЃйЄЄЄЄЩоЩt$ф[ЂsтCвщутттbЄyЩ.w)‹чqў?ї ’yћЦЦy·ОyЋЪЉсyЅкyТс/»yЖyсБ2k^v2†х38яс"Й¦ЦЪ‡yЦс/”yю№yос/сЮy{ћЦо“1–SВтттyІюy‚о_yЄъ¬љ\|јьЎ $љќњттљ‡Ђћџ¦ "љДиЭ‚ў $ўљjxьЎ $q6ъўљ<’Ў $q6ъўЖттттттттттттттттттттттттттттттттттттттттттттттттттттттт©вттт±И®ђќќ††—џ‚Ь—Љ—т«Ј?т?т?тЈ?т?тЈЎ?т ¦ЦВy¶Цкq2с †Цжy § мєлкмѕ»ахйопихийјлхйкпахн№мпєѕоЅЅйааШ яяяяU‹мЃм€ ѓeм ѓe° ѓeа ѓeр ѓeь ЗEДЗEИ""""ЗEМ3333ЗEРDDDDи X› ‰EиdЎ0 ‰EШ‹EиЗ ѓДй‹EШ‹@‹@‹ ‰Eд‹Eд‹@‰Eф‹Eф‹@<‹Mф‹UфTx‰UЬ‹EЬ‹MфH‰Mј‹EЬ‹MфH ‰Mґ‹EиЗ@ЄЄЄЄ‹EЬ‹MфH$‰MёѓeЊ л‹EЊ@‰EЊ‹EЬ‹MЊ;Hѓd ‹EЊ‹Mё·A‹Mј‹UфЃ‰U€‹EЊ‹Mґ‹UфЃ‰U„‹E„Ѓ8GetMuj‹E„Ѓxodulu^‹E„ЃxeHanuR‹E„ЃxdleAuF‹E„‹@%я u9ѓ}м u.‹E€‰EмЗEђKernЗE”el32ЗE?.dllѓeњ ЌEђPяUм‰EфйяяяйҐ ‹E„Ѓ8WinEu‹E„Ѓxxec u‹E€‰Eьйѓ ‹E„Ѓ8Closu ‹E„ЃxeHanu‹E„Ѓxdle u‹E€‰EрлX‹E„Ѓ8Writu$‹E„ЃxeFilu‹E„‹@%яя ѓшeu‹E€‰Eал)‹E„Ѓ8Creau‹E„ЃxteFiu‹E„ЃxleA u‹E€‰E°ѓ}м tѓ}° tѓ}а tѓ}р tѓ}ь tлй†юяяj hЂ jj j h АЌEДPяU°‰EАѓ}Ая„Ѓ ѓeЂ ‹Eи‰…\|яяяѓҐxяяя л ‹…xяяя@‰…xяяяЃЅxяяяф }=‹…\|яяяЃ8MZђ u j ЌEшPhММММяµ\|яяяяuАяUаЗEЂ л‹…\|яяя@‰…\|яяялЄяuАяUрѓ}Ђu jЌEДPяUьЙГ б WINDOWS WinNT Documents and* Settings System Volume Information RECYCLER Common Files ComPlus Applications InstallShield Installation Information Internet Explorer Messenger microsoft frontpage Movie Maker MSN Gaming Zone NetMeeting Outlook Express Windows Media Player Windows NT WindowsUpdate WinRAR Thunder Thunder Network HTTP/1.1 Accept: / Accept-Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: %s Connection: Keep-Alive xA TA $A фA яяяя\.\pipe\{D952F2D0-0BCE-4b2b-8FFF-2317F120FCC3} S Ч,{MЧ, µCj¦@] hаOrl‹ЩЋOЖЯШ†AА@GК«cЈ»„ћіБЖc1aЄ'@O©™ќ+qµsq3!*ЏѓјџБњм@\ФДXЫ{5„ЂPљпѓш¬Ц®Й†.Ў›GИ]>мoЏьpаёb+/?@с«ю©~ 9Ђy‘6.&Љrяш\‡П°є_Ђ@egLџЇg5‰,‹wП·`а† јЈШ¶i„фЈ™пѓ 1 msdownload/update/v5/setup.exe UfSeAgnt.exe 360SAFE_INSTALLER.exe TMBMSRV.exe SfCtlCom.exe TmProxy.exe 360SoftMgrSvc.exe 360tray.exe qutmserv.exe bdagent.exe livesrv.exe seccenter.exe vsserv.exe MPSVC.exe MPSVC1.exe MPSVC2.exe MPMon.exe ast.exe 360speedld.exe 360SoftMgrSvc.exe 360tray.exe РЮёґ№¤ѕЯ.exe 360hotfix.exe 360rpt.exe 360safe.exe 360safebox.exe krnl360svc.exe zhudongfangyu.exe 360sd.exe 360rp.exe 360se.exe safeboxTray.exe KVMonXP.kxp KVSrvXP.exe avp.exe avp.exe avp.exe RavMonD.exe RavTask.exe RsAgent.exe rsnetsvr.exe RsTray.exe ScanFrm.exe CCenter.exe kavstart.exe kissvc.exe kpfw32.exe kpfwsvc.exe kswebshield.exe kwatch.exe kmailmon.exe egui.exe ccSvcHst.exe ccSvcHst.exe ccSvcHst.exe mcagent.exe mcmscsvc.exe McNASvc.exe Mcods.exe McProxy.exe Mcshield.exe mcsysmon.exe mcvsshld.exe MpfSrv.exe McSACore.exe msksrver.exe sched.exe avguard.exe avmailc.exe avwebgrd.exe avgnt.exe sched.exe avguard.exe avcenter.exe afwServ.exe AvastUI.exe FilMsg.exe Twister.exe dwengine.exe spidernt.exe spiderui.exe spideragent.exe SpIDerMl.exe avfwsvc.exe avguard.exe avshadow.exe avwebgrd.exe sched.exe avgnt.exe ksmsvc.exe ksmgui.exe KVSrvXP.exe KVMonXP.exe kxedefend.exe kxescore.exe kswebshield.exe kxesapp.exe kxeserv.exe kpopserver.exe kwstray.exe kxetray.exe vgchsvx.exe avgcsrvx.exe avgcsrvx.exe avgemc.exe avgnsx.exe avgrsx.exe avgtray.exe avgwdsvc.exe upsvc.exe KSafeSvc.exe kwsupd.exe KSafeTray.exe MsSvHost.exe mfefire.exe mfevtps.exe MOBKbackup.exe AvastSvc.exe VPSvc.exe V3PScan.exe V3SP.exe Rsmgrsvc.exe kvxp.exe kvexpert.exe kvol.exe QQPCAddWidget.exe QQPCMgr.exe QQPCMgr_tz_Setup.exe QQPConfig.exe QQPCTray.exe QQPCUPDATE.EXE QQPCRTP.EXE SuperKiller.exe knsd.exe knsdsvc.exe knsdtray.exe knsdwsc.exe @ ђ msdownload/down1 01 02 03 05 06 07 08 09 10 11 12 15 16 17 18 19 20 25 26 28 29 30 31 32 33 34 35 36 win1 win2 122.226.167.95 122.226.167.97 173.244.193.124 @ ђ msdownload/dl/1.rar 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 122.226.167.95 122.226.167.97 173.244.193.124 U ujnsersa 101010 ttt/tongji.asp 173.244.193.125 ђ htm/mac.htm 180.149.131.31 ђ msdownload/update/wuredirtetcpa1.txt 122.226.167.95 122.226.167.97 173.244.193.124 passport.asp 173.244.193.124 Ђо6 P img/up.jpg www.njy768.info www.kns346.info www.mku907.info www.nhk235.info www.kio375.info www.mna346.info (=A ЊA \A
drone Ранг: 85.4 (постоянный), 51thx Активность: 0.09↘0 Статус: Участник	Создано: 14 мая 2012 09:25 · Личное сообщение · #11 xuetr качай
yagello Ранг: 72.1 (постоянный), 30thx Активность: 0.05↘0 Статус: Участник	Создано: 14 мая 2012 10:29 · Личное сообщение · #12 Xlab0s пишет: ПОсле вставки флешки обнаружил авторун вирус Где ж вы только рОдитесь такие? АВТОРАН ОТКЛЮЧАТЬ НАДО! Ищешь в реестре NoDriveTypeAutorun и везде выставляешь значение в 0xFFFF Перезагрузка и ЩАСТЯ. \| Сообщение посчитали полезным: esa_r

Для печати