Перейти к содержанию
Правила раздела

Нахождение Win32.Kolabc.ezg и Win32.Sdbot.aad [LOG+]

Пью

От Пью
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Пью Новичок

Пью

Опубликовано
Опубликовано

Вопрос собственно в том, что при установленном KIS 8 оба вируса (Win32.Kolabc.ezg и Win32.Sdbot.aad) не удавалось найти средствами KIS - признаки заражения есть, а антивирус ничего не видит при максимально жестких настройках. Причем длилось это не одну неделю.

 

Мои проблемы детектировалась и удаляласть при помощи проги, заточенной под поиск шпионов.

Поиском вируса онлайн не пользовался, ибо у меня скорее всего не хватит скорости у подключения, чтобы процедура продолжалась сколь-либо приемлемое время (256 Мб/с). Впрочем, главное соображение - при неподавленной угрозе выход в сеть вообще вреден.

 

Какие будут рекомендации при подозрительном поведения компа в дальнейшем?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ни один разработчик антивирусных решений не дает 100% гарантии защиты

 

Можно прямо сейчас, если желаете, сделать профилактический осмотр, выполнив эти правила

Ссылка на комментарий
Поделиться на другие сайты
Пью Новичок

Пью

Опубликовано
  • Автор
Опубликовано

Вот логи, если все правильно сделал. (Жаль что не сделал их до лечения.)

 

Правда, сейчас там уязвимостей поубавилось, лишние службы поотключал.

И проблема возникла после излечения – DSL модем перестал держать линию, обрывал связь каждые 5-10 минут, что требует перезапуска модема. Драйвера переставил – не помогает.

Вот сейчас новое соединение состряпал, жду чего вышло.

2009_08_10.zip

Ссылка на комментарий
Поделиться на другие сайты
Пью Новичок

Пью

Опубликовано
  • Автор
Опубликовано
Пофиксите:

Хм, один раз попробовал, но результат мне остался непонятен, а попробовать второй раз – искомой строчки почему-то не появляется. Все есть, кроме этой с указанным скриптом (O3).

 

Да, в папке где у меня лежат avz.exe и HijackThis.exe, появилась (возможно, после попытки пофиксить) еще одна папка backups с файлом без расширения, backup-20090810-210001-570 – это то что нужно как результат фиксанья?

 

Логи от AVZ – немного не понял, это значит каждый отчет должен быть ZIP-архивом, а так все то? Если да, то переделаю.

 

И еще – я вот не знал про AVZ, а судя по настройкам, вещь могучая. Получается, что если есть сомнения в чистоте компа, этот инструмент практически на 100% обнаруживает нежелательных элементов?

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано
Логи от AVZ – немного не понял, это значит каждый отчет должен быть ZIP-архивом, а так все то? Если да, то переделаю.

 

8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

 

10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

Ссылка на комментарий
Поделиться на другие сайты
SergeyUser Опытный

SergeyUser

Опубликовано
Опубликовано

Когда возникают серьезные опасения, что что-то не так, или паранойя не отпускает, я запускаю тестирование с загрузочного диска (диска аварийного восстановления, который можно создать из интерфейса KIS) с последними версиями баз. Это самый надежный из известных мне способов детектирования известных угроз (которые уже попадали в антивирусные компании).

Ссылка на комментарий
Поделиться на другие сайты
Пью Новичок

Пью

Опубликовано
  • Автор
Опубликовано

Паранойя не отпускает. Ибо разница с «чистой» виндой таки ощущается.

Сетевое подключение держится весьма скверно, что косвенный признак заражения.

Вот сейчас опять прогнал на всякий случай Спайбутом (SpyBotSD), опять обнаружил вирусятину. Все тот же Win32.Sdbot.aad, ну и за компанию там еще одна хрень новая появилась, Hupigon13.

 

Вот кусок отчета спайбута где самое интересное.

Специально пока ничего не удаляю, чтобы разобраться с ним по-правильному.

 

-- Search result list ---

Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=W=0

 

Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=W=0

 

Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=W=0

 

Microsoft.WindowsSecurityCenter_disabled: Настройки (Изменение реестра, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2

 

Hupigon13: Настройки (Значение реестра, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sr\ImagePath=...\SystemRoot\...

 

Hupigon13: Настройки (Значение реестра, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sr\ImagePath=...\SystemRoot\...

 

В KIS ничего подозрительного.

Сканирования портов за эти дни – были конечно.

 

Вот логи AVZ

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=W=0

Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=W=0

Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=W=0

Microsoft.WindowsSecurityCenter_disabled: Настройки (Изменение реестра, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2

Все это относится к Центру обеспечения безопасности. Вы отключали его уведомления? Если да, тогда чего волнуетесь

 

Hupigon13: Настройки (Значение реестра, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sr\ImagePath=...\SystemRoot\...

Hupigon13: Настройки (Значение реестра, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sr\ImagePath=...\SystemRoot\...

Относится к Восстановлению системы. Причем это что-то из старых настроек

 

Ваши логи чистые

Ссылка на комментарий
Поделиться на другие сайты
Пью Новичок

Пью

Опубликовано
  • Автор
Опубликовано

Да, центр обеспечения безопасности я после заражения отключил (в числе множества других служб).

И это дало выброс старых записей?

Хм, как-то не подумал. Спасибо.

 

Я не настолько специалист. чтобы определить причину появления этих вещей в отчете, и если после уничтожения, в отчете (вторично) появляется упоминание про вирус и рекомендация залечить эту проблему, то паника естественна :lol:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Anix
      log работы ELPACO-team
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      От Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      Антивирус его удаляет только с перезагрузкой, но каждый раз он появляется вновь 
    • Sweethome-2005
      Шифровальщик .DEEP (Win32.Phobos.vho)
      От Sweethome-2005
      Поймал шифровальщик. Вероятно влез через открытый проброс порта RDP на роутере.
      шифрованные файлы.rar Addition.rar FRST.rar
    • valeriithehuman
      [РЕШЕНО] троян win32/phonzy.b ml как удалить
      От valeriithehuman
      Скачивал контент, а вместо контента получил троян и много-много вирусов (с ними справился стандартный антивирус виндовс (надеюсь))
      Скачал файл, начал установку программы, антивирус сразу сбросил выполнение всех программ и начал очистку. После отчистки остался только этот троян.
      Все файлы, которые я скачал, были удалены антивирусом и мной в ручную
      заранее спасибо за помощь 
      CollectionLog-2024.02.07-19.14.zipShortcut.txtFRST.txtAddition.txt
    • Nucleus
      Работа с AlReader2.win32.ru
      От Nucleus
      Вчера, после обновления КАВ на Касперский стандарт пришлось удалять антивирус, так как он блокировал открытие страниц интернета, но суть вопроса не в этом.
      Читаю и редактирую электронные книги, формат книг ******.fb2.zip. То есть каждая книга хранится в архиве. До удаления касперского работа с файлами происходила в стандартном режиме, я использую Тотал Командер вместо Проводника, открываю fb2.zip двумя кликами, посмотрел и пытаюсь открыть следующий файл, находящийся в том же каталоге что и предыдущий файл. И вот тут появились различиия при открытии до и после удаления касперского.
      Если раньше при открытии книги ОС меня перемещала в директорию, где находился открытый файл, к примеру я открыл файл по такому адресу - D:\My Office\Documents\Alex&Books\М\Мarkys\301262 Сверхъестественное (СИ).fb2.zip то открытие другой книги через AlReader2 открывало тот же файл, и я переходил в каталог, который нужен.
      Теперь же, при открытии нового файла ОС перемещает не в ту же директорию, где находится файл электронной книги, а открывает во временной директории книги, распакованной из архива - C:\Tmp\_tc\Markys__Sverhestestvennoe_(SI)_LitLife.club_301262_original_9eb69.fb2
      А эта ситуация довольно неприятная, так как заново приходится перемещаться в каталог с библиотекой, и переоткрывать дополнительно несколько лишних каталогов.
      Вот и подошел к сути вопросов, почему AlReader2 поменял принцип открытия файлов после удаления антивируса Касперского.
×
×
  • Создать...