вот логи
Прикрепленные файлы:
-
cureit_results.cab 73,79К
33 Скачано раз
-
hj.rar 2,94К
32 Скачано раз
-
rku.rar 3,86К
83 Скачано раз
Xx.scr.exe - 3
Автор
ifix
, июл 01 2009 13:56
12 ответов в этой теме
#1
ifix
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 01 Июль 2009 - 13:56
у меня подобная проблема
вот логи
вот логи
#2
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 01 Июль 2009 - 14:01
ifix
Отошлите в вирлаб (и покажите отчет VirusTotal)
C:\WINNT\msmacro64.exe
C:\WINNT\system32\*.scr (одного из)
Пофиксите в хайджеке
R3 - URLSearchHook: (no name) - - (no file)
Отошлите в вирлаб (и покажите отчет VirusTotal)
C:\WINNT\msmacro64.exe
C:\WINNT\system32\*.scr (одного из)
Пофиксите в хайджеке
R3 - URLSearchHook: (no name) - - (no file)
#3
ifix
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 01 Июль 2009 - 14:13
http://www.virustotal.com/ru/reanalisis.ht...0c18-1246446649C:\WINNT\msmacro64.exe
C:\WINNT\system32\*.scr (одного из)
http://www.virustotal.com/ru/reanalisis.ht...0c18-1246446815
#4
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 01 Июль 2009 - 14:18
Хм... Судя по md5, это один и тот же файл. Однако на exe - 13 из 41, а на scr - 14 из 41...http://www.virustotal.com/ru/reanalisis.ht...0c18-1246446649C:\WINNT\msmacro64.exe
http://www.virustotal.com/ru/reanalisis.ht...0c18-1246446815C:\WINNT\system32\*.scr (одного из)
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#5
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 01 Июль 2009 - 14:20
Угу, похоже *.scr == msmacro64.exe
В вирлаб его (msmacro64.exe) и номер тикета - сюда.
Пофиксите в хайджеке и проверьте, что записи не восстанавливаются (можно после фикса перезагрузиться)
O4 - HKCU\..\Run: [msmacro32] C:\WINNT\msmacro64.exeC:\WINNT\msmacro64.exe
O4 - HKUS\.DEFAULT\..\Run: [msmacro32] C:\WINNT\msmacro64.exe (User 'Default user')
В вирлаб его (msmacro64.exe) и номер тикета - сюда.
Пофиксите в хайджеке и проверьте, что записи не восстанавливаются (можно после фикса перезагрузиться)
O4 - HKCU\..\Run: [msmacro32] C:\WINNT\msmacro64.exeC:\WINNT\msmacro64.exe
O4 - HKUS\.DEFAULT\..\Run: [msmacro32] C:\WINNT\msmacro64.exe (User 'Default user')
У Prevx дополнительная эвристика - на имя файлаХм... Судя по md5, это один и тот же файл. Однако на exe - 13 из 41, а на scr - 14 из 41...
#6
ifix
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 01 Июль 2009 - 14:20
кнопка fix checked не активнаПофиксите в хайджеке
R3 - URLSearchHook: (no name) - - (no file)
#7
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 01 Июль 2009 - 14:22
Снимите птицу с опции "Calculate MD5 ..."кнопка fix checked не активна
#8
ifix
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 01 Июль 2009 - 14:48
данная запись восстанавливается после удаленияO4 - HKUS\.DEFAULT\..\Run: [msmacro32] C:\WINNT\msmacro64.exe (User 'Default user')
#9
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 01 Июль 2009 - 14:57
Попробуйте в безопасном режимеданная запись восстанавливается после удаления
#10
ifix
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 01 Июль 2009 - 15:02
все одно к одному, майл ру не отдает почту, номер тикета в почтеномер тикета - сюда.
#11
ifix
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 01 Июль 2009 - 17:12
во. пришел тикет [drweb.com #928991]. но я думаю это не актуально уже, последний КуреИт уже ловит эту тварь. большое спасибо за помощь .
.
#12
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 01 Июль 2009 - 17:25
Что с майл ру после лечения куритом - работает?последний КуреИт уже ловит эту тварь
#13
ifix
-
- Posters
- 19 Сообщений:
Newbie
Отправлено 01 Июль 2009 - 17:39
не, майл ру сам по себе лежал, на сайте выдавало сообщение что проблемы с железом, приходите через три часа. я же скормил в онлайн сканер экземпляр виря, как написало что заражен, скачал куреит и проверил систему им.Что с майл ру после лечения куритом - работает?
