Enterprise Suite на 40 лицензий, все обновляется каждый день, на компьютере бухгалтера (WinXP SP3 Pro) появился winlock xtgina.dll
удалить-то смог, загрузившись с liveCD, но на следующий день утром зараза опять проявилась. что делать дальше?
xtgina.dll
Автор
Cetacea
, ноя 02 2012 14:59
33 ответов в этой теме
#2
k.nikolenko
-
- Virus Analysts
-
- 283 Сообщений:
Member
Отправлено 02 Ноябрь 2012 - 15:02
Отправить xtgina.dll к нам на анализ?
#3
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 15:43
чуть подробнее:
на самом деле, её фактически нет и не было. вирус пишет в реестр запись о ней, которая не дает компу загрузиться как раз из-за того, что dll отсутствует
2.PNG 19,07К
0 Скачано раз
загружаясь с liveCD через autoruns удаляю эту запись, потом можно залогиниться. но вирус где-то сидит и снова вносит эту запись. кроме того, появляются записи на левые файлы из TEMP, которых там нет:
1.PNG 17,38К
0 Скачано раз
сейчас попробую прогнать последний CureIT.
на самом деле, её фактически нет и не было. вирус пишет в реестр запись о ней, которая не дает компу загрузиться как раз из-за того, что dll отсутствует
2.PNG 19,07К
0 Скачано раззагружаясь с liveCD через autoruns удаляю эту запись, потом можно залогиниться. но вирус где-то сидит и снова вносит эту запись. кроме того, появляются записи на левые файлы из TEMP, которых там нет:
1.PNG 17,38К
0 Скачано разсейчас попробую прогнать последний CureIT.
#4
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 15:57
из-под liveCD он не запустился, в рабочей зараженной системе в (в режиме усиленной защиты) не нашел ни одной угрозы.сейчас попробую прогнать последний CureIT.
Сообщение было изменено Cetacea: 02 Ноябрь 2012 - 15:59
#5
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 02 Ноябрь 2012 - 16:03
в рабочей зараженной системе в (в режиме усиленной защиты) не нашел ни одной угрозы.
Возможно он просто не знает этой угрозы на данный момент.
Подозрительные файлы из C:\Temp отловить попытаться можете?
#7
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:10
а просто перенести ветку в тот подфорум нельзя?пишите с логами сюда http://forum.drweb.com/index.php?showforum=35
#8
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:10
Cetacea,
никаких вирусов на форуме !!!
подозрительные файлы слать сюда https://vms.drweb.com/sendvirus/?lng=ru
никаких вирусов на форуме !!!
подозрительные файлы слать сюда https://vms.drweb.com/sendvirus/?lng=ru
Сообщение было изменено userr: 02 Ноябрь 2012 - 16:13
#9
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:15
отправил.
Сообщение было изменено Cetacea: 02 Ноябрь 2012 - 16:19
#10
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:18
еще раз - никаких вирусов на форуме. За это положен бан.давайте сейчас оперативно я вам информацию передам, а потом вы удаляйте чо хотите. в 5 часов вечера пятницы перед праздниками выложить на форуме куда быстрее,
шлете подозрительные файлы в вирлаб, по одному файлу на письмо. В течение 5-15 минут получаете номер запроса. Вот этот номер пишете здесь.чем отправить письмо, на которое вы можете забить до вторника.
#11
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 02 Ноябрь 2012 - 16:19
Переехали в лечение.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#12
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:21
отправил.
там еще есть папка MPK, которая была в c:\Documents and Settings\All Users\Application Data\ с датой файлов = появлению заразы. может тоже гадость.
там еще есть папка MPK, которая была в c:\Documents and Settings\All Users\Application Data\ с датой файлов = появлению заразы. может тоже гадость.
#13
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:23
drweb.com #3673591В течение 5-15 минут получаете номер запроса. Вот этот номер пишете здесь.
#14
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:24
Cetacea,
проверьте на virustotal.com , покажите ссылку на результат.
и логи cureit хочется увидеть.
проверьте на virustotal.com , покажите ссылку на результат.
и логи cureit хочется увидеть.
#15
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:30
нашел еще один файл, отправил его: drweb.com #3673609
вот результаты анализа оного:https://www.virustotal.com/file/93bd071eed61555c74dbe3c6b3ef97c1693aaec0ce15105d8f56bb1165930495/analysis/1351862924/
из ранее отправленных файлов:
https://www.virustotal.com/file/3207390e487cfb6426b30c32a651fb6d1c2a321f75f791d71a5f57a63efdacc3/analysis/
https://www.virustotal.com/file/db4d15fea1bd99ef9d5b881bc2c93101e63e225b5b8ec2cb90a853a7677cd277/analysis/
mpk.exe из упомянутой папки MPK https://www.virustotal.com/file/71cf60f5d0039e056abbac54b594f9f8f8e3ded5d4f218c7c713fb8414b0a34d/analysis/
лог курита:
вот результаты анализа оного:https://www.virustotal.com/file/93bd071eed61555c74dbe3c6b3ef97c1693aaec0ce15105d8f56bb1165930495/analysis/1351862924/
из ранее отправленных файлов:
https://www.virustotal.com/file/3207390e487cfb6426b30c32a651fb6d1c2a321f75f791d71a5f57a63efdacc3/analysis/
https://www.virustotal.com/file/db4d15fea1bd99ef9d5b881bc2c93101e63e225b5b8ec2cb90a853a7677cd277/analysis/
mpk.exe из упомянутой папки MPK https://www.virustotal.com/file/71cf60f5d0039e056abbac54b594f9f8f8e3ded5d4f218c7c713fb8414b0a34d/analysis/
лог курита:
Прикрепленные файлы:
-
cureit.log 1,39Мб
3 Скачано раз
Сообщение было изменено Cetacea: 02 Ноябрь 2012 - 16:35
#16
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:36
печально, что куча антивирусов их определяют, а DrWeb - нет 
#17
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 02 Ноябрь 2012 - 16:37
Аналитики уже работают. Ждите ответ на свою почту.
#18
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:42
ок, спасибо.
только почему-то уведомления с форума мне не приходят, хотя я сразу подписался на эту тему. почта на гугле. папку Спам проверил, нету.
только почему-то уведомления с форума мне не приходят, хотя я сразу подписался на эту тему. почта на гугле. папку Спам проверил, нету.
Сообщение было изменено Cetacea: 02 Ноябрь 2012 - 16:46
#19
Cetacea
-
- Posters
- 52 Сообщений:
Newbie
Отправлено 02 Ноябрь 2012 - 16:53
ну вроде бы все, вычистил до конца теперь, больше в реестре ничего не появляется, загрузка проходит нормально. но в любом случае, повторения не хотелось бы. у меня DrWeb Enterprise Suite у 5 клиентов стоит...
первый ответ:
первый ответ:
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.PWS.Termuser.8, Win32.HLLM.Limar.4356
Сообщение было изменено Cetacea: 02 Ноябрь 2012 - 16:56
#20
k.nikolenko
-
- Virus Analysts
-
- 283 Сообщений:
Member
Отправлено 02 Ноябрь 2012 - 16:56
Рядом с файлом A365CF828F68DF2 должен быть еще exe, либо тоже без разсширения. Он может не определяться, но это троян SpyEyedrweb.com #3673591
Сообщение было изменено k.nikolenko: 02 Ноябрь 2012 - 16:58
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
