Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Доброго времени суток.

очередной раз прошу хелпа.

заметил что браузер тупит, решил проверит др.вебом, нашел троянов кучу(4-5)

вот логи.

откуда берется эта дрянь?

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.rar

log.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.rar

log.rar

Link to comment
Share on other sites

Здравствуйте!!!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\AppPatch\kufllur.dat','');QuarantineFile('C:\WINDOWS\AppPatch\smeevmt.dat','');BC_ImportAll;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки:

- Выполните в АВЗ:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и переделайте логи.

- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того, что будет отмечено, удалять ничего не нужно.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Link to comment
Share on other sites

Ничего необычного.

Выполните в АВЗ:

beginRegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\AppPatch\kufllur.dat');RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\AppPatch\smeevmt.dat');end.

Установите все доступные обновления для Windows

- Выполните в AVZ скрипт из файла ScanVuln.txt

- Откройте файл avz_log.txt из под-папки LOG.

- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.

- Перезагрузите компьютер.

- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Link to comment
Share on other sites

Выполните в АВЗ:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Temporary Internet Files\Content.IE5\9JOBMEXJ\dfa5903[1].exe','');QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Temp\0.21210403563561087.exe','');QuarantineFile('C:\Documents and Settings\Ольга\Local Settings\Temporary Internet Files\Content.IE5\6BPEQWA4\e37d171[1].exe','');DeleteFile('C:\Documents and Settings\Олег\Local Settings\Temp\0.21210403563561087.exe');DeleteFile('C:\Documents and Settings\Ольга\Local Settings\Temporary Internet Files\Content.IE5\6BPEQWA4\e37d171[1].exe');DeleteFile('C:\Documents and Settings\Олег\Local Settings\Temporary Internet Files\Content.IE5\9JOBMEXJ\dfa5903[1].exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Олег\Local Settings\Temporary Internet Files\Content.IE5\9JOBMEXJ\dfa5903[1].exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Ольга\Local Settings\Temporary Internet Files\Content.IE5\6BPEQWA4\e37d171[1].exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Олег\Local Settings\Temp\0.21210403563561087.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки:

- Выполните в АВЗ:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

В остальном чисто.

Рекомендуем для предотвращения заражения:

- не работать за компьютером с правами администратора

- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)

- регулярно устанавливать обновления windows и обновлять антивирусные базы.

  • Upvote 1
Link to comment
Share on other sites

Создайте новую контрольную точку восстановления и очистите старые:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

Edited by Techno
Link to comment
Share on other sites

  • 1 month later...

В очередной раз прошу помощи. Опять эта дрянь обнаружилась при сканировании др.вебом.

После всех логов сделал новую точку вост-я, старые снес.

Как обезопаситься от этого гада?

info.rar

log.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.rar

log.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

Link to comment
Share on other sites

Выполните скрипт

beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\docume~1\05ac~1\locals~1\temp\rar$ex00.343\winio.sys','');DeleteFile('c:\docume~1\05ac~1\locals~1\temp\rar$ex00.343\winio.sys');DeleteService('WINIO');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки:

- Выполните в АВЗ:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

 Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме. 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Link to comment
Share on other sites

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

Версия базы данных: v2012.02.07.01

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Олег :: 27B27AF6883F4EB [администратор]

07.02.2012 18:17:29

mbam-log-2012-02-07 (18-17-29).txt

Тип сканирования: Полное сканирование

Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM

Опции сканирования отключены: P2P

Просканированные объекты: 288466

Времени прошло: 49 минут , 46 секунд

Обнаруженные процессы в памяти: 0

(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0

(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0

(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0

(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0

(Вредоносных программ не обнаружено)

Обнаруженные папки: 0

(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0

(Вредоносных программ не обнаружено)

(конец)

Link to comment
Share on other sites

Опять эта дрянь обнаружилась при сканировании др.вебом.

Отчет обнаруженных угроз показать можете (так, чтобы было видно, где находится зловред)?

Link to comment
Share on other sites

Отчет обнаруженных угроз показать можете (так, чтобы было видно, где находится зловред)?

подскажите где дрвеб логи сохраняет после скан-я..

нешел вроде.

Link to comment
Share on other sites

Отчет обнаруженных угроз показать можете (так, чтобы было видно, где находится зловред)?

C:\Documents and Settings\Олег\Application Data\Sun\Java\Deployment\cache\6.0\27\48941a1b-29054d02 инфицирован Trojan.PWS.Ibank.467 - удален

Edited by ollegg
Link to comment
Share on other sites

подскажите где дрвеб логи сохраняет после скан-я..

C:\Documents and Settings\Имя_Пользователя\DoctorWeb\CureIt.log

если здесь его нет, то воспользуйтесь поиском по имени файла CureIt.log

C:\Documents and Settings\Олег\Application Data\Sun\Java\Deployment\cache\6.0\27\48941a1b-29054d02 инфицирован Trojan.PWS.Ibank.467 - удален

- обновите Java до актуальной версии

Edited by Tiare
Link to comment
Share on other sites

C:\Documents and Settings\Олег\Application Data\Sun\Java\Deployment\cache\6.0\27\48941a1b-29054d02 инфицирован Trojan.PWS.Ibank.467 - удален

Ложное срабатывание скорее всего :)

Логи авз и RSIT повторите

Link to comment
Share on other sites

Вот то, что базы авз перед запуском обновлять надо, кто должен думать об этом? Вредного ничего не вижу, остатки от симантека удалите. Будьте здоровы :)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...