Перейти к содержимому


Фото
- - - - -

как определить откуда идет вирусная атака

Автор oaesi , ноя 24 2009 16:49

  • Please log in to reply
28 ответов в этой теме

#21 Anatel

Anatel

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 25 Ноябрь 2009 - 21:23

Цитата (Borka @ 24/11/2009 18:05) *
Это Конфикер так по сети через дыры проходит. Пачей нет...

Я слабо понимаю о чем речь, к сожалению...
Делать-то чего?


Скачать с сайта Microsoft и установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (KB957097, KB958644, KB958687) через которые проникает Win32.HLLW.Autoruner.5555. Удалить всё в папках C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files, C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files и системный TEMP. А затем запустить проверку gui-сканером. И будет вам счастье :lol:

#22 oaesi

oaesi

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Ноябрь 2009 - 07:44

Проверьте на ВирусТотал и зашилите в Вирлаб:
C:\Windows\system32\itcadvapi.dll
C:\WINDOWS\system32\DRIVERS\itcscrpt.sys

C:\Windows\system32\itcadvapi.dll - нет

C:\WINDOWS\system32\DRIVERS\itcscrpt.sys - есть, вот его анализ
MD5: 9e98a2af5d63c94dd40da29345ff7e58
First received: 2009.05.18 09:27:19 UTC
Дата: 2009.05.18 09:27:19 UTC [>191D]
Результаты: 0/40
Permalink: analisis/989656397db9264f76c3dbc90c3cd3ca74ccd52b4f2d396d0d429e5ba64ce680-1242638839

что значит заслать в Вирлаб?

#23 oaesi

oaesi

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 26 Ноябрь 2009 - 07:46

Скачать с сайта Microsoft и установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (KB957097, KB958644, KB958687) через которые проникает Win32.HLLW.Autoruner.5555.

Это я сделала, спасибо

#24 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 26 Ноябрь 2009 - 07:49

что значит заслать в Вирлаб?

То и значит.
Каждый файл по отдельности, за архивировать с паролем virus.
Отослать через ВебФорму!
Создать тему тут, ссылкой на эту и запостить номера тикетов которые придут после отправки.
www.surfpatrol.ru

#25 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 26 Ноябрь 2009 - 13:14

oaesi
http://forum.drweb.com/index.php?showtopic...st&p=352111

#26 Esik

Esik

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 26 Ноябрь 2009 - 14:38

oaesi
http://forum.drweb.com/index.php?showtopic...st&p=352111

Она пока занята другими внезапно нагрянувшими проблемами. Например, сервер после накатывания вчера критического обновления, вдруг сегодня перестал пинговать любой хост по IP адресу.
Я тоже слежу за ситуацией, и помогаю ей. Логи GUI вышлем при первой же возможности.
Отправила ли она в лабораторию файл - не знаю сам.

#27 oaesi

oaesi

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 27 Ноябрь 2009 - 12:25

Одну из рабочих станций проверяла в безопасном режиме курейтом 2 раза. Оба раза вылетал по ошибке "память не может быть writen". Загрузилась с LiveCD, запустила проверку курейтом. Окно с завершенной проверкой не увидела. Прикладываю лог последней проверки.Прикрепленный файл  CureIt.rar   3,6Мб   38 Скачано раз

#28 oaesi

oaesi

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 30 Ноябрь 2009 - 07:27

Проверьте на ВирусТотал и зашилите в Вирлаб:
C:\WINDOWS\system32\DRIVERS\itcscrpt.sys

[drweb.com #1077520]

#29 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 30 Ноябрь 2009 - 14:00

VKS

Переехали сюда!
www.surfpatrol.ru
Назад к Помощь по лечению

Читают тему: 2

0 пользователей, 2 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·