ollegg Posted December 10, 2011 Report Share Posted December 10, 2011 Доброго времени суток. очередной раз прошу хелпа. заметил что браузер тупит, решил проверит др.вебом, нашел троянов кучу(4-5) вот логи. откуда берется эта дрянь? virusinfo_syscheck.zip virusinfo_syscure.zip info.rar log.rar virusinfo_syscheck.zip virusinfo_syscure.zip info.rar log.rar Quote Link to comment Share on other sites More sharing options...
Techno Posted December 11, 2011 Report Share Posted December 11, 2011 Здравствуйте!!! AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\AppPatch\kufllur.dat','');QuarantineFile('C:\WINDOWS\AppPatch\smeevmt.dat','');BC_ImportAll;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится После перезагрузки: - Выполните в АВЗ: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме. Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и переделайте логи. - Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того, что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Quote Link to comment Share on other sites More sharing options...
ollegg Posted December 11, 2011 Author Report Share Posted December 11, 2011 сделал mbam-log-2011-12-11 (23-17-59).rar virusinfo_syscheck.zip virusinfo_syscure.zip mbam-log-2011-12-11 (23-17-59).rar virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
Techno Posted December 11, 2011 Report Share Posted December 11, 2011 Ничего необычного. Выполните в АВЗ: beginRegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\AppPatch\kufllur.dat');RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\AppPatch\smeevmt.dat');end. Установите все доступные обновления для Windows - Выполните в AVZ скрипт из файла ScanVuln.txt - Откройте файл avz_log.txt из под-папки LOG. - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления. - Перезагрузите компьютер. - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены. Quote Link to comment Share on other sites More sharing options...
Techno Posted December 12, 2011 Report Share Posted December 12, 2011 Повторите лог РСИТ. Quote Link to comment Share on other sites More sharing options...
ollegg Posted December 12, 2011 Author Report Share Posted December 12, 2011 Повторите лог РСИТ. через дыры микрософт дрянь то лезет? Спасибо огромное за помощЬ! log.rar info.rar log.rar info.rar Quote Link to comment Share on other sites More sharing options...
Techno Posted December 12, 2011 Report Share Posted December 12, 2011 Выполните в АВЗ: beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Temporary Internet Files\Content.IE5\9JOBMEXJ\dfa5903[1].exe','');QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Temp\0.21210403563561087.exe','');QuarantineFile('C:\Documents and Settings\Ольга\Local Settings\Temporary Internet Files\Content.IE5\6BPEQWA4\e37d171[1].exe','');DeleteFile('C:\Documents and Settings\Олег\Local Settings\Temp\0.21210403563561087.exe');DeleteFile('C:\Documents and Settings\Ольга\Local Settings\Temporary Internet Files\Content.IE5\6BPEQWA4\e37d171[1].exe');DeleteFile('C:\Documents and Settings\Олег\Local Settings\Temporary Internet Files\Content.IE5\9JOBMEXJ\dfa5903[1].exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Олег\Local Settings\Temporary Internet Files\Content.IE5\9JOBMEXJ\dfa5903[1].exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Ольга\Local Settings\Temporary Internet Files\Content.IE5\6BPEQWA4\e37d171[1].exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Олег\Local Settings\Temp\0.21210403563561087.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится После перезагрузки: - Выполните в АВЗ: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме. В остальном чисто. Рекомендуем для предотвращения заражения: - не работать за компьютером с правами администратора - при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. 1 Quote Link to comment Share on other sites More sharing options...
Techno Posted December 12, 2011 Report Share Posted December 12, 2011 (edited) Создайте новую контрольную точку восстановления и очистите старые: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли Edited December 12, 2011 by Techno Quote Link to comment Share on other sites More sharing options...
ollegg Posted December 13, 2011 Author Report Share Posted December 13, 2011 всё сделал. как там карантин.зип ? Quote Link to comment Share on other sites More sharing options...
Techno Posted December 15, 2011 Report Share Posted December 15, 2011 Карантин пустой. Этих файлов, видимо, уже давно нет, остались только записи в реестре. Quote Link to comment Share on other sites More sharing options...
ollegg Posted February 6, 2012 Author Report Share Posted February 6, 2012 В очередной раз прошу помощи. Опять эта дрянь обнаружилась при сканировании др.вебом. После всех логов сделал новую точку вост-я, старые снес. Как обезопаситься от этого гада? info.rar log.rar virusinfo_syscure.zip virusinfo_syscheck.zip info.rar log.rar virusinfo_syscure.zip virusinfo_syscheck.zip Quote Link to comment Share on other sites More sharing options...
edde Posted February 6, 2012 Report Share Posted February 6, 2012 Выполните скрипт beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\docume~1\05ac~1\locals~1\temp\rar$ex00.343\winio.sys','');DeleteFile('c:\docume~1\05ac~1\locals~1\temp\rar$ex00.343\winio.sys');DeleteService('WINIO');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится После перезагрузки: - Выполните в АВЗ: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Quote Link to comment Share on other sites More sharing options...
ollegg Posted February 7, 2012 Author Report Share Posted February 7, 2012 Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Версия базы данных: v2012.02.07.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Олег :: 27B27AF6883F4EB [администратор] 07.02.2012 18:17:29 mbam-log-2012-02-07 (18-17-29).txt Тип сканирования: Полное сканирование Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM Опции сканирования отключены: P2P Просканированные объекты: 288466 Времени прошло: 49 минут , 46 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 0 (Вредоносных программ не обнаружено) Обнаруженные параметры в реестре: 0 (Вредоносных программ не обнаружено) Объекты реестра обнаружены: 0 (Вредоносных программ не обнаружено) Обнаруженные папки: 0 (Вредоносных программ не обнаружено) Обнаруженные файлы: 0 (Вредоносных программ не обнаружено) (конец) Quote Link to comment Share on other sites More sharing options...
Tiare Posted February 7, 2012 Report Share Posted February 7, 2012 Опять эта дрянь обнаружилась при сканировании др.вебом. Отчет обнаруженных угроз показать можете (так, чтобы было видно, где находится зловред)? Quote Link to comment Share on other sites More sharing options...
ollegg Posted February 7, 2012 Author Report Share Posted February 7, 2012 Отчет обнаруженных угроз показать можете (так, чтобы было видно, где находится зловред)? подскажите где дрвеб логи сохраняет после скан-я.. нешел вроде. Quote Link to comment Share on other sites More sharing options...
ollegg Posted February 7, 2012 Author Report Share Posted February 7, 2012 немогу найти вчерашние логи cureit Quote Link to comment Share on other sites More sharing options...
ollegg Posted February 7, 2012 Author Report Share Posted February 7, 2012 (edited) Отчет обнаруженных угроз показать можете (так, чтобы было видно, где находится зловред)? C:\Documents and Settings\Олег\Application Data\Sun\Java\Deployment\cache\6.0\27\48941a1b-29054d02 инфицирован Trojan.PWS.Ibank.467 - удален Edited February 7, 2012 by ollegg Quote Link to comment Share on other sites More sharing options...
Tiare Posted February 7, 2012 Report Share Posted February 7, 2012 (edited) подскажите где дрвеб логи сохраняет после скан-я.. C:\Documents and Settings\Имя_Пользователя\DoctorWeb\CureIt.log если здесь его нет, то воспользуйтесь поиском по имени файла CureIt.log C:\Documents and Settings\Олег\Application Data\Sun\Java\Deployment\cache\6.0\27\48941a1b-29054d02 инфицирован Trojan.PWS.Ibank.467 - удален - обновите Java до актуальной версии Edited February 7, 2012 by Tiare Quote Link to comment Share on other sites More sharing options...
ollegg Posted February 7, 2012 Author Report Share Posted February 7, 2012 обновите Java до актуальной версии обновил Quote Link to comment Share on other sites More sharing options...
Tiare Posted February 7, 2012 Report Share Posted February 7, 2012 Malwarebytes Anti-Malware деинсталлируйте. Проблемы есть? Quote Link to comment Share on other sites More sharing options...
edde Posted February 7, 2012 Report Share Posted February 7, 2012 C:\Documents and Settings\Олег\Application Data\Sun\Java\Deployment\cache\6.0\27\48941a1b-29054d02 инфицирован Trojan.PWS.Ibank.467 - удален Ложное срабатывание скорее всего :) Логи авз и RSIT повторите Quote Link to comment Share on other sites More sharing options...
ollegg Posted February 8, 2012 Author Report Share Posted February 8, 2012 Проблемы есть? нет. Логи авз и RSIT повторите virusinfo_syscure.zip virusinfo_syscheck.zip info.rar log.rar virusinfo_syscure.zip virusinfo_syscheck.zip info.rar log.rar Quote Link to comment Share on other sites More sharing options...
edde Posted February 8, 2012 Report Share Posted February 8, 2012 Вот то, что базы авз перед запуском обновлять надо, кто должен думать об этом? Вредного ничего не вижу, остатки от симантека удалите. Будьте здоровы :) Quote Link to comment Share on other sites More sharing options...
ollegg Posted February 9, 2012 Author Report Share Posted February 9, 2012 спасибо Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.