69 ответов в этой теме

[TASH]

Ув.профессионалы!SOS!
Помогите!!! У меня очень большой входящий траффик при отсутствии каких-либо вирусов.
Не раз делала полную проверку,но Drweb ничего не обнаруживает,а буквально за час в интернете списывается около 1 Гб(причем ничего не качаю!!!!!!!!!)

Логи прикрепляю.

Заранее благодарю!

[Driver]

C:\Documents and Settings\Admin\Рабочий стол\MustBeRandomlyNamed\I67j0xbA6246.exe
 I67j0xbA6246.exe проверьте на VT 

[mrbelyash]

LVPrcInj02.dll инжектится в Эксплорер кажись
-------------
MustBeRandomlyNamed\I67j0xbA6246.exe-это RKU

2tash нужен еще лог GMER
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe-проверьте на всякий случай на www.virustotal.com/ru
C:\WINDOWS\temp\logishrd\LVPrcInj02.dll-на вирустотал
c:\windows\system32\yv12vfw.dll-на вирустотал
C:\Documents and Settings\Admin\Application Data\pcouffin.sys-в вирлаб
C:\Documents and Settings\Admin\Local Settings\Temp\PRG4.tmp-на вирустотал

Сообщение было изменено mrbelyash: 26 Декабрь 2009 - 06:59

[SergM]

Переехали в Помощь по лечению.

[Driver]

LVPrcInj02.dll инжектится в Эксплорер кажись
-------------
MustBeRandomlyNamed\I67j0xbA6246.exe-это RKU

2tash нужен еще лог GMER
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe-проверьте на всякий случай на www.virustotal.com/ru
C:\WINDOWS\temp\logishrd\LVPrcInj02.dll-на вирустотал
c:\windows\system32\yv12vfw.dll-на вирустотал

 COCIManager.exe  Вебкамера или другое что то от logitech.

[Borka]

Еще:
c:\documents and settings\admin\local settings\temp\u2novr41.dll

[TASH]

mrbelyash----1. простите за глупый вопрос,а вирлаб Drweb Вы имели в виду?

2.MustBeRandomlyNamed\I67j0xbA6246.exe-это RKU но virustotal показал результат 5/41 (12.20%)-что это значит? т.к. я никогда не пользовалась virustotal и не совсем ее понимаю

3.GMER прикреплю

Borka ---- c:\documents and settings\admin\local settings\temp\u2novr41.dll-----данного файла я не нашла,может он находится не по этому адресу,который Вы указали?

[Borka]

mrbelyash----1. простите за глупый вопрос,а вирлаб Drweb Вы имели в виду?

Разумеется. Зачем нам чей-то вирлаб?

3.GMER прикреплю

И?

Borka ---- c:\documents and settings\admin\local settings\temp\u2novr41.dll-----данного файла я не нашла,может он находится не по этому адресу,который Вы указали?

Хм... Сканер говорит, что есть:
[Scan path] c:\documents and settings\admin\local settings\temp\u2novr41.dll
c:\documents and settings\admin\local settings\temp\u2novr41.dll packed by ASPACK
>c:\documents and settings\admin\local settings\temp\u2novr41.dll - OK

Хотя, возможно, это либа от Доктора...

[YVS]

2.MustBeRandomlyNamed\I67j0xbA6246.exe-это RKU но virustotal показал результат 5/41 (12.20%)-что это значит? т.к. я никогда не пользовалась virustotal и не совсем ее понимаю

Это не страшно. У некоторых антивирусов срабатывает эвристика на этот файл

[TASH]

Прикрепляю GMER

[TASH]

[Scan path] c:\documents and settings\admin\local settings\temp\u2novr41.dll

Borka--- так как же мне найти этот файл? [Scan path] c:\documents and settings\admin\local settings\temp\u2novr41.dll Поиск файлов тоже его не нашел((((

[TASH]

YVS ---- а что делать если virustotal на другие файлы показал результат 2/41 (4.88%)---значит заражены? и как их вылечить тогда? спасибо

[YVS]

а что делать если virustotal на другие файлы показал результат 2/41 (4.88%)---значит заражены?

Нет, может быть и ложное срабатывание. Каждый такой случай индивидуален

и как их вылечить тогда?

Если файл подозрительный - отошлите его в вирлаб

Borka--- так как же мне найти этот файл? [Scan path] c:\documents and settings\admin\local settings\temp\u2novr41.dll Поиск файлов тоже его не нашел((((

Попробуйте GMER-ом

[TASH]

YVS--простите,а как это GMER-ом? Я же сделала лог GMER -ом или этого не достаточно?

[Borka]

Прикрепляю GMER

Device          \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE                                                         [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLOSE                                                          [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CONTROL                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL                                        [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_POWER                                                          [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SYSTEM_CONTROL                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP                                                            [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE                                                         [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLOSE                                                          [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CONTROL                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL                                        [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_POWER                                                          [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SYSTEM_CONTROL                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP                                                            [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e IRP_MJ_CREATE                                                [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e IRP_MJ_CLOSE                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e IRP_MJ_DEVICE_CONTROL                                        [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL                               [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e IRP_MJ_POWER                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e IRP_MJ_SYSTEM_CONTROL                                        [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e IRP_MJ_PNP                                                   [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 IRP_MJ_CREATE                                                [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 IRP_MJ_CLOSE                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 IRP_MJ_DEVICE_CONTROL                                        [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 IRP_MJ_INTERNAL_DEVICE_CONTROL                               [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 IRP_MJ_POWER                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 IRP_MJ_SYSTEM_CONTROL                                        [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 IRP_MJ_PNP                                                   [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_CREATE                                                         [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_CLOSE                                                          [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_DEVICE_CONTROL                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_INTERNAL_DEVICE_CONTROL                                        [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_POWER                                                          [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_SYSTEM_CONTROL                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort2 IRP_MJ_PNP                                                            [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort3 IRP_MJ_CREATE                                                         [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort3 IRP_MJ_CLOSE                                                          [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort3 IRP_MJ_DEVICE_CONTROL                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort3 IRP_MJ_INTERNAL_DEVICE_CONTROL                                        [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort3 IRP_MJ_POWER                                                          [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort3 IRP_MJ_SYSTEM_CONTROL                                                 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}Device          \Driver\atapi \Device\Ide\IdePort3 IRP_MJ_PNP                                                            [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}

ТДСС?

[Borka]

YVS--простите,а как это GMER-ом? Я же сделала лог GMER -ом или этого не достаточно?

Имеется в виду посмотреть этот файл Гмером.

[TASH]

Borka ------ и что это значит? Это все я должна проверить что-ли? И что такое ТДСС?

[Borka]

Borka ------ и что это значит? Это все я должна проверить что-ли? И что такое ТДСС?

Это вопрос тем, кто понимает больше меня.

Да если б я знала как его проверить ГМЕРом((((((

Попробуем по-другому: запустите РкУ, далее "Tools" -> "Wipe/Copy file" -> "Browse". Вводите путь и при "Direct File Copy" попытайтесь куда-нить скопировать этот файл. Если получится - покажете его нам.

[YVS]

Да если б я знала как его проверить ГМЕРом((((((

Там по ссылке статья про это есть, с картинками

[TASH]

YVS ---спасибо ,статью прочитала,но файл не могу найти даже через ГМЕР(((((((