Использование Javascript отключено

Javascript отключен. В результате, некоторые функции могут не работать. Для возобновления полноценного функционирования форума, включите Javascript.

Win32.hllw.shadow.based.

Автор Lamazz , янв 21 2009 19:00

«
Пред.

След.

Please log in to reply

82 ответов в этой теме

#61 Borka

Забанен за флуд

Members
19 512 Сообщений:

Отправлено 29 Январь 2009 - 23:10

Ну тогда
hkmsvc

Если это "Health Key and Certificate Management Service", то сабжа, похоже, нет. Если это не оно, тогда посмотреть в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hkmsvc, какой у этой службы "ImagePath", посмотреть в ФАРе, есть ли эта DLL, и если - проверить на Вирустотале.

С уважением,
Борис А. Чертенко aka Borka.

Наверх

#62 Borka

Забанен за флуд

Members
19 512 Сообщений:

Отправлено 29 Январь 2009 - 23:17

Drweb похоже не определил здесь вирусы
И чем их убирать?

Сюда его. Потом сюда же номер тикета.

С уважением,
Борис А. Чертенко aka Borka.

Наверх

#63 vet235

Newbie

Posters
17 Сообщений:

Отправлено 29 Январь 2009 - 23:23

Ну тогда
hkmsvc
Если это "Health Key and Certificate Management Service", то сабжа, похоже, нет. Если это не оно, тогда посмотреть в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hkmsvc, какой у этой службы "ImagePath", посмотреть в ФАРе, есть ли эта DLL, и если - проверить на Вирустотале.

Вот "ImagePath"
%SystemRoot%\System32\svchost.exe -k netsvcs

Наверх

#64 Borka

Забанен за флуд

Members
19 512 Сообщений:

Отправлено 29 Январь 2009 - 23:36

Ну тогда
hkmsvc
Если это "Health Key and Certificate Management Service", то сабжа, похоже, нет. Если это не оно, тогда посмотреть в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hkmsvc, какой у этой службы "ImagePath", посмотреть в ФАРе, есть ли эта DLL, и если - проверить на Вирустотале.
Вот "ImagePath"
%SystemRoot%\System32\svchost.exe -k netsvcs

Виноват, не то. http://forum.drweb.com/public/style_emoticons/default/sad.png Нужно HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hkmsvc\Parameters
ServiceDll - тут будет путь к DLL.

С уважением,
Борис А. Чертенко aka Borka.

Наверх

#65 vet235

Newbie

Posters
17 Сообщений:

Отправлено 29 Январь 2009 - 23:36

Drweb похоже не определил здесь вирусы
И чем их убирать?
Сюда его. Потом сюда же номер тикета.

Отправил 3 зараженных файла. А какой номер тикета?

Наверх

#66 vet235

Newbie

Posters
17 Сообщений:

Отправлено 29 Январь 2009 - 23:41

Ну тогда
hkmsvc
Если это "Health Key and Certificate Management Service", то сабжа, похоже, нет. Если это не оно, тогда посмотреть в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hkmsvc, какой у этой службы "ImagePath", посмотреть в ФАРе, есть ли эта DLL, и если - проверить на Вирустотале.
Вот "ImagePath"
%SystemRoot%\System32\svchost.exe -k netsvcs
Виноват, не то. http://forum.drweb.com/public/style_emoticons/default/sad.png Нужно HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hkmsvc\Parameters
ServiceDll - тут будет путь к DLL.

%SystemRoot%\System32\kmsvc.dll
Отправил на вирустотал - но никакой из антивирусов не определил что он инфицирован

Наверх

#67 Borka

Забанен за флуд

Members
19 512 Сообщений:

Отправлено 29 Январь 2009 - 23:43

Drweb похоже не определил здесь вирусы
И чем их убирать?
Сюда его. Потом сюда же номер тикета.
Отправил 3 зараженных файла. А какой номер тикета?

Если указывали свою почту, то должен прийти письмо, что-то вроде
=======
Уважаемый ...,

Это сообщение автоматически сформировано в ответ
на Ваш запрос относительно:
"тема".
Детальная информация о Вашем запросе представлена ниже.

В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #хххххх].

Пожалуйста, включайте строку:

[drweb.com #хххххх].

в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.

Спасибо за сотрудничество.
=======

Вот этот "#хххххх" и есть тикет.

С уважением,
Борис А. Чертенко aka Borka.

Наверх

#68 Borka

Забанен за флуд

Members
19 512 Сообщений:

Отправлено 29 Январь 2009 - 23:45

%SystemRoot%\System32\kmsvc.dll
Отправил на вирустотал - но никакой из антивирусов не определил что он инфицирован

А что в свойствах этого файла?

С уважением,
Борис А. Чертенко aka Borka.

Наверх

#69 vet235

Newbie

Posters
17 Сообщений:

Отправлено 30 Январь 2009 - 09:31

%SystemRoot%\System32\kmsvc.dll
Отправил на вирустотал - но никакой из антивирусов не определил что он инфицирован
А что в свойствах этого файла?

Пробывал его удалить - он появляется снова.
Свойства - компонент неизвестного приложения, размер 60кб, создан 14 апреля 2008, изменен 30 января 2009
Авторские права майкрософт , служба управления ключами, версия 5.1.2600.5512

Наверх

#70 v.martyanov

Guru

Virus Analysts
8 308 Сообщений:

Отправлено 30 Январь 2009 - 11:44

c:\windows\system32\drivers\gaopdxoxstowyk.sys - видите у себя такой файл? Посмотрите свойства, проверьте на http://www.virustotal.com/

О! Так это ж Backdoor.TDSS! В вирлаб его, поганца! В вирлаб! :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/

Наверх

#71 userr

Newbie

Members
16 310 Сообщений:

Отправлено 30 Январь 2009 - 15:18

Отправил 3 зараженных файла. А какой номер тикета?

Что это за файлы, как определили, что зараженные ? Тикеты получили? Приведите.

Наверх

#72 vet235

Newbie

Posters
17 Сообщений:

Отправлено 30 Январь 2009 - 18:13

Отправил 3 зараженных файла. А какой номер тикета?
Что это за файлы, как определили, что зараженные ? Тикеты получили? Приведите.

Определил виртуалабом. Файлы те что вы сказали.

C:\WINDOWS\system32\drivers\gaopdxdairfldl.sys #771277 Вирус: BackDoor.Tdss.59.
C:\WINDOWS\system32\drivers\gaopdxoxstowyk.sys #771270 Вирус: BackDoor.Tdss.51.
C:\WINDOWS\system32\drivers\gaopdxkrgkomuw.sys #771276 -
После того как я их удалил Виндоус теперь апдейтится (раньше заменялся на гугл) и есет разблокировался (выдавал ip 127.0.0.1).

Наверх

#73 userr

Newbie

Members
16 310 Сообщений:

Отправлено 30 Январь 2009 - 21:15

Определил виртуалабом. Файлы те что вы сказали.

Отлично.

Делайте новый комплект логов.

Наверх

#74 vet235

Newbie

Posters
17 Сообщений:

Отправлено 30 Январь 2009 - 23:57

Определил виртуалабом. Файлы те что вы сказали.
Отлично. Делайте новый комплект логов.

Вот новый комплект. Возможно еще чтото осталось - при входе в сеть система пытается прослушать 138 порт.

Прикрепленные файлы:

report.rar 59,67К 75 Скачано раз

Наверх

#75 mrbelyash

Беляш

Members
25 897 Сообщений:

Отправлено 31 Январь 2009 - 00:13

Эээ..

O23 - Service: Norton 2009 Reset (.norton2009Reset) - Unknown owner - C:\Documents and Settings\All Users\Application Data\Norton\Norton2009Reset.exe

Сталкер ставит свой сервис?

O23 - Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsb) (pr2ajtsb) - 1C: Multimedia - C:\WINDOWS\system32\pr2ajtsb.exe :rolleyes:

Наверх

#76 maxic

Keep yourself alive

Moderators
13 066 Сообщений:

Отправлено 31 Январь 2009 - 00:15

Эээ..
Сталкер ставит свой сервис?

Фик его знает наверняка, кажется, он со старфорсом в комплекте идет.

Наверх

#77 Borka

Забанен за флуд

Members
19 512 Сообщений:

Отправлено 31 Январь 2009 - 00:17

Эээ..
O23 - Service: Norton 2009 Reset (.norton2009Reset) - Unknown owner - C:\Documents and Settings\All Users\Application Data\Norton\Norton2009Reset.exe

Там еще круче:
O23 - Service: Norton 2009 Reset (.norton2009Reset) - Unknown owner - C:\Documents and Settings\All Users\Application Data\Norton\Norton2009Reset.exe
O23 - Service: Dr.Web R Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

С уважением,
Борис А. Чертенко aka Borka.