ForestHuman Опубликовано 15 февраля, 2011 Жалоба Поделиться Опубликовано 15 февраля, 2011 Здравствуйте. Проверил систему как написано в инструкции, получил логи (прилагаю). Просьба к знающим пояснить насколько всё хорошо или насколько всё плохо... virusinfo_cure.zip virusinfo_syscure.zip info.txt log.txt virusinfo_cure.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 15 февраля, 2011 Жалоба Поделиться Опубликовано 15 февраля, 2011 Проверьте на virustotal этот файл: C:\WINDOWS\hporclnr.exe и дайте ссылку на результат сканирования. Ваш провайдер: CJSC Telesystems of Ukraine? Очистите временные файлы. Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName(' C:\WINDOWS\system32\csrcs.exe');QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');QuarantineFile(' C:\WINDOWS\hporclnr.exe ','');DeleteFile('C:\WINDOWS\system32\csrcs.exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. после перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. Запустите Hijackthis, в логе сканирования Hijackthis отметьте эти строки и нажмите "fix checked" R3 - URLSearchHook: (no name) - - (no file)O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Повторите логи AVZ (внимательно читайте правила запроса о помощи) -> вы должны прикрепить два архива от AVZ: virusinfo_syscure.zip и virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 16 февраля, 2011 Автор Жалоба Поделиться Опубликовано 16 февраля, 2011 (изменено) ссылка на результат сканирования: http://www.virustota...4112-1297844890 i Уведомление: Нет никакой нужды полностью цитировать предыдущие сообщения... Изменено 16 февраля, 2011 пользователем Yezhishe Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 16 февраля, 2011 Автор Жалоба Поделиться Опубликовано 16 февраля, 2011 1.Ответ: Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab . This option is available for the Licensed Kaspersky Lab customers only. If you are a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. bcqr00004.dat No malicious code was found in this file. Best Regards, Kaspersky Lab 2. R3 - URLSearchHook: (no name) - - (no file) - строка в логе сканирования Hijackthis была, всё сделал как написано O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe[/code] - строки в логе сканирования Hijackthis не выдало 3. Логи AVZ прикрепляю. 4. Лог Malwarebytes' Anti-Malware прикрепил. Благодарю за ответы. virusinfo_syscure.zip virusinfo_syscheck.zip mbam-log-2011-02-16 (12-37-00).txt virusinfo_syscure.zip virusinfo_syscheck.zip mbam-log-2011-02-16 (12-37-00).txt Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 16 февраля, 2011 Автор Жалоба Поделиться Опубликовано 16 февраля, 2011 В МБАМ всё удалять? Пока ничего не делаю, жду ответов... Спасибо Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 16 февраля, 2011 Жалоба Поделиться Опубликовано 16 февраля, 2011 1. Я просил проверить на virustotal файл C:\WINDOWS\hporclnr.exe, а не hporclnr.txt 2. virusinfo_syscure.zip у вас вчерашний. Я попросил после выполнения скрипта, сделать новые логи. По virusinfo_syscheck.zip проблем не вижу. 3. Удалите в Malwarebytes': Заражённые ключи в реестре:HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. 4. Подготовьте новые логи AVZ и RSIT и прикрепите в ваше следующее сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 16 февраля, 2011 Автор Жалоба Поделиться Опубликовано 16 февраля, 2011 1. Отправил ехе-шник на анализ. Ссылка: http://www.virustotal.com/file-scan/reanalysis.html?id=9b50560fbff3f69ac8f18666f9e980372a1aa114c09a048760d5ef59b6f24112-1297859399 2. Проделал всё сначаа для получения логов с перезагрузкой и т.д. Вроде всё правльно. Отправляю всё полученное. Простите индейца, не силён в компьютерах... info.txt log.txt virusinfo_cure.zip virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_cure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 16 февраля, 2011 Жалоба Поделиться Опубликовано 16 февраля, 2011 (изменено) Жалобы есть? Обновите Javaи Adobe Reader 8. Поиск потенциальных уязвимостей>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!>> Безопасность: разрешен автозапуск программ с CDROM>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)>> Безопасность: к ПК разрешен доступ анонимного пользователя>> Безопасность: Разрешена отправка приглашений удаленному помошникуПроверка завершена9. Мастер поиска и устранения проблем>> Разрешен автозапуск с HDD>> Разрешен автозапуск с сетевых дисков>> Разрешен автозапуск со сменных носителей Что из этого вам нужно? Изменено 16 февраля, 2011 пользователем Farger Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 16 февраля, 2011 Автор Жалоба Поделиться Опубликовано 16 февраля, 2011 Жалобы есть? Есть подозрение на программу-шпион, что воруют пароли... взламывают электронку. Взломали персонажа в онлайн игре, админы утверждают, что ломают мыло и берут там пароль. Так же сказано проверить компьютер на удалённый доступ. Что мне нужно из вышеперечисленного? Да ничего! Я не разбираюсь в этом... Подскажите плиз что удалить, а что оставить для оптимальной уязвимости компьютера. Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 16 февраля, 2011 Жалоба Поделиться Опубликовано 16 февраля, 2011 (изменено) У вас отдельностоящий ПК? Да, кстати, по последнему результату virustotal, вы опять отослали hporclnr.txt... Давайте так: запакуйте файл C:\WINDOWS\hporclnr.exe и отошлите на мыло: cash2000(at)rambler(dot)ru, где (at) = @ а (dot) = . Изменено 16 февраля, 2011 пользователем Farger Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 16 февраля, 2011 Автор Жалоба Поделиться Опубликовано 16 февраля, 2011 отправляю, но сканировал 100% ехе-шник, не знаю в чём дело Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 16 февраля, 2011 Жалоба Поделиться Опубликовано 16 февраля, 2011 У вас отдельностоящий ПК? Письмо пустое, вы архив к письму прикрепили? Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 16 февраля, 2011 Автор Жалоба Поделиться Опубликовано 16 февраля, 2011 сори :) уже прикрепил. У меня ноутбук, который практически всё время со мной... в офисе подключаюсь к сети из 3-х компьютеров Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 17 февраля, 2011 Жалоба Поделиться Опубликовано 17 февраля, 2011 сори :)...в офисе подключаюсь к сети из 3-х компьютеров Тогда так: чтобы я вам не нарушил ничего, исходя из специфики подключения, я вам разложу все по полочкам: >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) Если не требуется интерактивно подключаться к компьютеру и отображать рабочий стол и приложения на удаленных компьютерах, то ее можно отключить. >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) Отвечает за обнаружение UPnP-устройств в домашней сети. >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) Планировщик заданий >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) Системная служба общего доступа к рабочему столу NetMeeting позволяет прошедшим проверку пользователям удаленно управлять рабочим столом Windows С помощью программы Windows NetMeeting с другого компьютера по внутренней сети предприятия >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) Управляет возможностями удаленного помощника. >> Безопасность: разрешен автозапуск программ с CDROM Это, я думаю, понятно... >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) Зная пароль администратора можно подключаться к дискам. >> Безопасность: к ПК разрешен доступ анонимного пользователя В сети любой может подключиться к компьютеру и посмотреть информацию. >> Безопасность: Разрешена отправка приглашений удаленному помошнику Удаленный помощник позволяет доверенному лицу (другу, специалисту технической поддержки или ИТ администратору) удаленно в активном режиме помочь кому-либо в решении компьютерной проблемы. 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Это тоже, думаю, понятно. В HJT пофиксите: O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - Invalid registry found Запустите HJT -> Do a system scan only -> отметьте эту строку -> нажмите Fix checked. В последних логах ничего подозрительного не нашел. На вашем месте, я бы лучше позаботился об защите от вирусов, а то у вас установлена только одна Avira и то бесплатная. Она дает только базовую защиту. Установите фаервол, например COMODO, программу HIPS: ThreatFire или WinPatrol, антишпион: Malwarebytes' или SuperAntiSpyware... 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 17 февраля, 2011 Автор Жалоба Поделиться Опубликовано 17 февраля, 2011 Разберусь, что за службы и ненужное отключу. Подскажите только индейцу как отключать :rolleyes: Поблагодарил за помощь и плюсанул разок :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 17 февраля, 2011 Жалоба Поделиться Опубликовано 17 февраля, 2011 Вы скажите какие службы вам не нужны, я скрипт дам. Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 17 февраля, 2011 Автор Жалоба Поделиться Опубликовано 17 февраля, 2011 Спасибо. >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) - не нужна >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) - не нужна >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) - не нужна >> Безопасность: к ПК разрешен доступ анонимного пользователя - не нужна >> Безопасность: Разрешена отправка приглашений удаленному помошнику - не нужна Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 17 февраля, 2011 Жалоба Поделиться Опубликовано 17 февраля, 2011 (изменено) Выполните скрипт в AVZ: AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. beginSetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('TermService', 4);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Во избежание новых заражений желательно отключить автозапуск программ с различных носителей. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000dd Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. - не работайте за компьютером с правами администратора - не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript. - не забывайте регулярно устанавливать обновления Windows и обновлять антивирусные базы. - выполняйте ежедневное сканирование системы - не кликайте на ссылках в электронной почте и не открывайте вложения в которых вы сомневаетесь. - установите программу предотвращения вторжений, которая защищает компьютер в реальном времени (если это функция отсутствует в вашем антивирусе или реализована частично). Например PC Tools ThreatFire, WinPatrol или Spyware Terminator - выполняйте ежедневное сканирование системы. - скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов. - используйте файрвол для безопасного нахождения в сети. Например: COMODO, PC Tools Firewall Plus, Outpost или Online Armor. - помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt! + у вас установлен антивирус Avira. Пожалуйста, не забывайте обновлять ваш антивирус. Ваша система была поражена вирусом Trojan-Downloader.Win32.AutoIt.fn. Для предотвращения в будущем повторного заражения, пожалуйста, следуйте вышенаписанным рекомендациям. Изменено 17 февраля, 2011 пользователем Farger Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 17 февраля, 2011 Автор Жалоба Поделиться Опубликовано 17 февраля, 2011 Скрипты все выполню. Сегодня поставил Kaspersky Internet Security. Нужно ли устанавливать вышеперечисленные программы при таком антивирусе? И что всё-таки с C:\WINDOWS\hporclnr.exe? Некоторые сайты пишут, что это дрянь какая-то... Больше вопросов нет. Большое спасибо за помощь, всё доходчиво и понятно. Ссылка на комментарий Поделиться на другие сайты Поделиться
Farger Опубликовано 18 февраля, 2011 Жалоба Поделиться Опубликовано 18 февраля, 2011 (изменено) Не за что, я был рад вам помагать. Нужно ли устанавливать вышеперечисленные программы при таком антивирусе? Нет. И что всё-таки с C:\WINDOWS\hporclnr.exe? Некоторые сайты пишут, что это дрянь какая-то... Да, пишут, но virustotal показал 0/43, плюс я отправил файл в лабораторию Avira - ответ пришел, что вредоносного кода в файле не обнаружено. Изменено 18 февраля, 2011 пользователем Farger Ссылка на комментарий Поделиться на другие сайты Поделиться
ForestHuman Опубликовано 18 февраля, 2011 Автор Жалоба Поделиться Опубликовано 18 февраля, 2011 Благодарю ещё раз. Тему можно закрывать Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения