kibmastix Posted May 24, 2013 Report Share Posted May 24, 2013 сегодня при запуске рабочего компа NOD 32 выдал следующее: Оперативная память = c:\windows\system32\rpcss.dll Win32/Patched.IB троянская программа. выкладываю логи. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
edde Posted May 25, 2013 Report Share Posted May 25, 2013 выполните скрипт авз beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');QuarantineFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[22].exe','');QuarantineFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[23].exe','');QuarantineFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[24].exe','');QuarantineFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[25].exe','');QuarantineFile('C:\Documents and Settings\Юрий.SERVER\omt392a.exe','');DeleteFile('C:\WINDOWS\system32\csrcs.exe');DeleteFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[22].exe');DeleteFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[23].exe');DeleteFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[24].exe');DeleteFile('C:\ErdUndoCache\E0000029\Local Settings\Temporary Internet Files\Content.IE5\XPWX15IV\n-bss[25].exe');DeleteFile('C:\Documents and Settings\Юрий.SERVER\omt392a.exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteWizard('SCU', 2, 3, true);RebootWindows(true);end. Компьютер перезагрузится повторите логи Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 1 Quote Link to comment Share on other sites More sharing options...
kibmastix Posted May 27, 2013 Author Report Share Posted May 27, 2013 Выполнил скрипт - все равно вылетает предупреждение что память заражена. MBAM-log-2013-05-27 (08-25-51).txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt MBAM-log-2013-05-27 (08-25-51).txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Quote Link to comment Share on other sites More sharing options...
Sandor Posted May 27, 2013 Report Share Posted May 27, 2013 В MBAM ничего удалять не нужно. Выполните эту инструкцию. Ваша система Windows XP SP3 x86. Повторите логи AVZ (стандартный скрипт 2) и RSIT. Quote Link to comment Share on other sites More sharing options...
kibmastix Posted May 27, 2013 Author Report Share Posted May 27, 2013 О ! Спасибо - помогло) virusinfo_syscheck.zip virusinfo_syscheck.zip Quote Link to comment Share on other sites More sharing options...
Sandor Posted May 27, 2013 Report Share Posted May 27, 2013 Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. После удаления вредоносного ПО Quote Link to comment Share on other sites More sharing options...
kibmastix Posted May 27, 2013 Author Report Share Posted May 27, 2013 Security Check by glax24 version 0.1.6.54 rc1 WebSite: www.safezone.cc DataLog 27.05.2013 13:43:13 Program directory: C:\Documents and Settings\Юрий.SERVER\Local Settings\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=4.2 Диск C:\ ФС: NTFS Емкость: (49.1 Гб) Занято: (32.3 Гб) Свободно: (16.8 Гб) __________________________________________________ WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419) Дата установки ОС: 24.01.2010 16:45:42 Service Pack 3 Internet Explorer 8.0.6001.18702 -------------Windows------------------------------ Уведомлять о загрузке и установке обновлений Дата установки обновлений: 2013-05-15 11:07:21 Автоматическое обновление (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ ESET Smart Security 4.2 Антивирус обновлен -------------Firewall_WMI------------------------- Персональный файервол ESET -------------AntiVirusFirewallInstall------------- McAfee Security Scan Plus v.3.0.318.3 -------------OtherUtilities----------------------- Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.7.700.202 Adobe Flash Player 11 Plugin v.11.7.700.202 Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox 20.0.1 (x86 ru) v.20.0.1 Внимание! Скачать обновления Opera 12.15 v.12.15.1748 -------------EmailClient-------------------------- The Bat! Professional v5.2 v.5.2.0.0 Внимание! Скачать обновления -------------RunningProcess----------------------- C:\Program Files\Opera\opera.exe v.12.15.1748.0 -------------EndLog------------------------------- Quote Link to comment Share on other sites More sharing options...
akoK Posted June 8, 2013 Report Share Posted June 8, 2013 Обновите софт по ссылкам. Что с проблемами? Quote Link to comment Share on other sites More sharing options...
kibmastix Posted June 11, 2013 Author Report Share Posted June 11, 2013 Обновил. Видимых проблем пока нет. Позднее просканирую вновь. Quote Link to comment Share on other sites More sharing options...
Sandor Posted June 11, 2013 Report Share Posted June 11, 2013 Рекомендации после удаления вредоносного ПО. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.