44 ответов в этой теме

[YYY]

Здравствуйте!

Притащили комп. Сказали интернет сломался - порнуха выскативает
Вирусов много - я особо не запоминал (Одного звали Win32.Virut.56) - прошелся по всем злачным местам cureit
Осталось 2 проблемы.
Вставляешь флешку - на ней появляются файлы скрытые с иконкой винрар и расширением exe причем все разного размера..
CureIt их не видит как вирус.
Прикрепляю к теме в архиве
Если это не вирус тогда я не знаю что это может быть...

Вторая проблема это что "сломался интернет".
Используют на компьютере IE6
Запускаешь - появляется окно размером около 800*500 белого фона.
Есть кнопка закрыть и помощь.
На правую кнопку не реагирует.
Очень похож на то как показывается .hta файл
Четыре порно картинки
И надпись "Благодорим за посещение сайта " (сайт каждый раз разный)
Оплатите рекламу - шлите нам СМС

Причем это не обычный плагин - я все отключил - ноль эмоций...

Вообщем если с первых хоть понятно что делать, то как лечить второе я вообще не понимаю...

Зарание спасибо!

Прикрепленные файлы:

•  ie6_porno.jpg   53,6К   87 Скачано раз

Сообщение было изменено YVS: 08 Июль 2009 - 14:48
Удалил подозрительный файл

[YVS]

Сделайте логи по правилам раздела.

[v.martyanov]

Вирут там был за компанию, проблемы с флешкой и IE - наверняка не его лап дело.

[userr]

Вставляешь флешку - на ней появляются файлы скрытые с иконкой винрар и расширением exe причем все разного размера..
CureIt их не видит как вирус.
Прикрепляю к теме в архиве

Никогда больше так не делайте.
Модератор.

[YYY]

Сделайте логи по правилам раздела.

Простите.
Вот лог CureIt

Прикрепленные файлы:

•  CureIt.log   440,7К   103 Скачано раз

[YYY]

Вирут там был за компанию, проблемы с флешкой и IE - наверняка не его лап дело.

Ну он у меня просто на флешке остался. А остальное я и не запомнил

[YYY]

Никогда больше так не делайте.
Модератор.

Я что-то с наскока не нашел на drweb.ru как послатьсвежий вирус...
Больше не буду...

[v.martyanov]

Сделайте логи по правилам раздела.

Простите.
Вот лог CureIt

Нужны ВСЕ логи по правилам, плюс не определяющийся вирус нужно отправить в вирлаб.

[YVS]

плюс не определяющийся вирус нужно отправить в вирлаб

Один отправил: #935605

[v.martyanov]

плюс не определяющийся вирус нужно отправить в вирлаб

Один отправил: #935605

ОК, посмотрю.

[YYY]

нужны ВСЕ логи по правилам, плюс не определяющийся вирус нужно отправить в вирлаб.

Сейчас сделаю, архив отправил...

[Borka]

Проверьте на ВирусТотале:
c:\windows\system32\qlwocp.dll

Сообщение было изменено Borka: 08 Июль 2009 - 15:25
исправлено

[YYY]

Проверьте на ВирусТотале:
c:\windows\system32\qlwocp.dll

qlwocp.dll
Во у меня на эту дллку и ругалась система когда принесли, но потом пролечил - перестала...

[Borka]

Проверьте на ВирусТотале:
c:\windows\system32\qlwocp.dll

qlwocp.dll
Во у меня на эту дллку и ругалась система когда принесли, но потом пролечил - перестала...

Тогда за компанию:
c:\windows\system32\fhmbmd.dll

[Borka]

Проверьте на ВирусТотале:
c:\windows\system32\qlwocp.dll

qlwocp.dll
Во у меня на эту дллку и ругалась система когда принесли, но потом пролечил - перестала...

Тогда за компанию:
c:\windows\system32\fhmbmd.dll

Виноват, не тот лог посмотрел - это, вероятно, и есть qlwocp.dll, имя меняется при перезагрузках...

[YYY]

c:\windows\system32\fhmbmd.dll

Есть и та и эта - скрытые.
При перезагрузке что-то у меня запрещает regedit Я разрешу - а оно снова запертит - редиска
CureIt 2009-07-08 14:24 ничего не нашел. Сейчас еще HJ и hku логи сделаю и скопом все запостю...

[Borka]

c:\windows\system32\fhmbmd.dll

Есть и та и эта - скрытые.

Как интересно... В логе они по одной - наверное, каждую перезагруку просто дроппается новая со случайным именем. Тогда еще:
c:\windows\system32\eabulk.dll
c:\windows\system32\ynwyxl.dll

Одинаковые ли они? Что про них говорит ВирусТотал?

[YYY]

Одинаковые ли они? Что про них говорит ВирусТотал?

Сейчас все четыре проверю.
Логи прикрепляю.

Вообщем все эти библиотеки одного размера - в фаре они отлично видны - набор букв - большие-малые и скрытый - штук 10 их там

Прикрепленные файлы:

•  test_log.zip   113,33К   64 Скачано раз

[v.martyanov]

Одинаковые ли они? Что про них говорит ВирусТотал?

Сейчас все четыре проверю.
Логи прикрепляю.

D:\distrib\xp2\cnstart.exe
C:\WINDOWS\system32\csrcs.exe
C:\Program Files\usb\usb.exe
С:\WINDOWS\SYSTEM32\avgrsstx.dll

Зашлите все это в вирлаб.

[YYY]

Одинаковые ли они? Что про них говорит ВирусТотал?

Сейчас все четыре проверю.
Логи прикрепляю.

D:\distrib\xp2\cnstart.exe
C:\WINDOWS\system32\csrcs.exe
C:\Program Files\usb\usb.exe
С:\WINDOWS\SYSTEM32\avgrsstx.dll

Зашлите все это в вирлаб.

Первая это местной сетки-локалки
csrcs.exe это был вирус запускающийся через реестр раздел winlogon (где explorer.exe) его cureit убил
3ий мое неопасное - реестр разлочить чтоб
4 е сейчас зашлю

ДЛЛку закинул
http://www.virustotal.com/ru/analisis/b688...50d9-1246978339
http://virusscan.jotti.org/ru/scanresult/6...c11465dc0b68ab5

Говорят какойто Heur