Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

Страницы: (2) 1 2  ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> ПОМОГИТЕ УДАЛИТЬ!!!, ВИРУС dll32.exe
escendersimf |
Дата 18 Августа, 2009, 16:31
Quote Post



Unregistered









флэшки не использую
escendersimf |
Дата 18 Августа, 2009, 16:34
Quote Post



Unregistered









Цитата(escendersimf @ 18 Августа, 2009, 15:28)
Значит не все удалилось. Надо поставить фаервол, посмотреть что, куда подключается. Если просто подключить VPN, и не запускать после этого никаких программ, то тоже вылазиет?

да вылазит ,просто подключил и жду 1-2мин и полез
8/   
VaH | Профиль
Дата 18 Августа, 2009, 16:36
Quote Post



зрю в корень
Group Icon

Группа: Gold Member
Сообщений: 852
Регистрация: 11.02.09
Авторитет: 58
Вне форума

Предупреждения:
(0%) -----


escendersimf
чистил? ты вообще читал по ссылке?
Создает следующие файлы (два последних - копии червя):

%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe (copy of W32.Ircbrute)
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe (copy of W32.Ircbrute)


(%SystemDrive% - системный диск, обычно C:)

Через реестр обеспечивает себе автозагрузку при старте системы:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"internet security manager" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Printer Spooler" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"


____________________
“- Рыба, — сказал он, — я тебя очень люблю и уважаю. Но я убью тебя прежде, чем настанет вечер.” (с) Э. Хемингуэй. Старик и Море.
PMEmail Poster
30/2254   
Gear | Профиль
Дата 18 Августа, 2009, 16:38
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 10.08.08
Авторитет: 3
Вне форума

Предупреждения:
(0%) -----


Если не все удалено, и exeшник в памяти висит, то он должен пытаться коннектиться к IRC, поэтому может каспер его блокирует.

Отредактировал Gear - 18 Августа, 2009, 16:39
PM
escendersimf |
Дата 18 Августа, 2009, 16:41
Quote Post



Unregistered









жёсткий диск отфарматирован винда чистая и всё равно лезет реестр чистый ничего там нет
Gear | Профиль
Дата 18 Августа, 2009, 16:48
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 10.08.08
Авторитет: 3
Вне форума

Предупреждения:
(0%) -----


Антивирус сообщает что он пытается из инета скопироваться или уже с диска запуститься?

Отредактировал Gear - 18 Августа, 2009, 16:48
PM
escendersimf |
Дата 18 Августа, 2009, 16:52
Quote Post



Unregistered









с интернета
VaH | Профиль
Дата 18 Августа, 2009, 16:53
Quote Post



зрю в корень
Group Icon

Группа: Gold Member
Сообщений: 852
Регистрация: 11.02.09
Авторитет: 58
Вне форума

Предупреждения:
(0%) -----


escendersimf
написано же русскими буквами
Цитата
Копирует себя на все диски, которым присвоена буква, в корень, под именами spoolsv.exe и dll32.exe. Там же создает файл автозапуска autorun.inf.


если уж идти по пути форматирования то нужно форматировать все диски (винты) на машине lol.gif

или удали буквенные значения у логических дисков

Отредактировал VaH - 18 Августа, 2009, 16:54


____________________
“- Рыба, — сказал он, — я тебя очень люблю и уважаю. Но я убью тебя прежде, чем настанет вечер.” (с) Э. Хемингуэй. Старик и Море.
PMEmail Poster
escendersimf |
Дата 18 Августа, 2009, 16:54
Quote Post



Unregistered









диск полностью отфарматирован!!! на нём ничего нет
Gear | Профиль
Дата 18 Августа, 2009, 16:55
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 10.08.08
Авторитет: 3
Вне форума

Предупреждения:
(0%) -----


Значит проблемма в виндовых службах. Службы Восстановление системы и Общий доступ к файлам и принтерам отключены?
PM
Rumata | Профиль
Дата 18 Августа, 2009, 16:56
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



на чистую венду файервол сразу, раз один раз уже нашел уязвимость, лазить будет постоянно


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
escendersimf |
Дата 18 Августа, 2009, 16:57
Quote Post



Unregistered









да всё отключено!!!
VaH | Профиль
Дата 18 Августа, 2009, 16:58
Quote Post



зрю в корень
Group Icon

Группа: Gold Member
Сообщений: 852
Регистрация: 11.02.09
Авторитет: 58
Вне форума

Предупреждения:
(0%) -----


escendersimf
с вашим тоном... идите в лес искать помощь к лешему... или к мяснику
ЗЫ вы не хотите решать вопрос сами, вы хотите чтобы это сделали за вас

Отредактировал VaH - 18 Августа, 2009, 17:01


____________________
“- Рыба, — сказал он, — я тебя очень люблю и уважаю. Но я убью тебя прежде, чем настанет вечер.” (с) Э. Хемингуэй. Старик и Море.
PMEmail Poster
escendersimf |
Дата 18 Августа, 2009, 17:00
Quote Post



Unregistered









извините забыл поставит запятую после "ДА" не обращай внимание
escendersimf |
Дата 18 Августа, 2009, 17:02
Quote Post



Unregistered









у меня был вот этот файл dll32.exe. я его удалил,но он лезет из сети каспер его ловит удаляет и всё ок работает
WereWolf | Профиль
Дата 19 Августа, 2009, 12:19
Quote Post



А вообще то я добрый
Group Icon

Группа: Banned
Сообщений: 2227
Регистрация: 15.02.04
Авторитет: 12
Вне форума

Предупреждения:
(40%) XX---


Похожий зверёк с сети лез-поставил OutPost и забыл) Но с прикрытием DrWeb'a. Сначала его поймал веб и каждые 30-40 секунд отстреливал. Помог остановить атаку только OutPost.
Ваш вариант - загрузиться с флешки или диска с WinPE, потом пролечить систему лечащими утилитами от того же DrWeb или Касперского, потомуже НЕ ВКЛЮЧАЯ сетевой провод установить файервол и антивирус, и только после этого включать компьютер в сеть!


____________________
Время разбрасывать камни
Время и убирать пришибленных!
PMEmail PosterUsers Website
cherp |
Дата 1 Сентября, 2009, 12:19
Quote Post



Unregistered









Всем доброе время суток! Столкнулся точно с такойже проблемой!!! и уже 3 дня немогу удалить, постоянно вілазит файл dll32b.exe реально незнаю что делать! перепробывал все. Подскажите если кто может!!!
1/   
Oleggs20090 | Профиль
Дата 10 Сентября, 2009, 11:58
Quote Post




Group Icon

Группа: Абориген
Сообщений: 384
Регистрация: 06.09.09
Авторитет: 5
Вне форума

Предупреждения:
(80%) XXXX-


Возможно стоит попробовать скачать другую версию винды.
PMEmail Poster
simpyalex |
Дата 10 Сентября, 2009, 12:29
Quote Post



Unregistered









Цитата(cherp @ 1 Сентября, 2009, 11:19)
перепробывал все
зачем пробовать все? так можно и отравиться smile.gif

формула проста:
фаревол + антивирус = спокойствие
dwor | Профиль
Дата 10 Сентября, 2009, 13:30
Quote Post



near bird
Group Icon

Группа: Старожил
Сообщений: 3255
Регистрация: 04.08.04
Авторитет: 41
Вне форума

Предупреждения:
(0%) -----


Любой Live CD со свежими антивирусами + proccess explorer разве не решает проблему?
PMEmail Poster

Topic OptionsСтраницы: (2) 1 2  Start new topic Start Poll 

 



[ Script Execution time: 0.0820 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top