-
Junior Member
- Вес репутации
- 53
Вероятно, троян: меняются адреса статических окон, ворует куки
Здравствуйте,
В CrasyBrowser было открыто несколько окон, в т.ч. и 2 окна админки моего сервиса. Они были статичными, работа шла в других. Вдруг одно из этих окон меняет адрес на hттp://95.142.44.90:81/7JOBiTZfI2riX , а второе на hттp://95.142.44.90:81/Rq5KJJ4rePMJ , после чего их сразу же, как вирусные, закрывает НОД. Через несколько часов с моими куками, но с чужого IP предпринимается попытка зайти в админку сервиса.
Все действия с Вашей страницы http://virusinfo.info/pravila.html выполнены, ничего существенного на компе не обнаружено. Файлы логов приложены к сообщению.
Прошу помощи, заранее благодарю.
Последний раз редактировалось PavelA; 30.01.2010 в 10:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам.
Сделать заново логи.
Два а/вируса при Platform: Windows XP SP2 (WinNT 5.01.2600) не спасут. Надо оставить один а/вирус и обновить систему.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Спасибо за ответ.
Дополнение к моему первому сообщению. Попытка входа в админку с моими куками шла с IP 188.162.127.139 и 94.25.198.195
Прислать карантин по Правилам.
Два а/вируса при Platform: Windows XP SP2 (WinNT 5.01.2600) не спасут. Надо оставить один а/вирус
1. Уточните, плз, что было сделано мной неправильно при формировании логов для отправки Вам?
2. Скажите, пожалуйста, как мне удалить Авиру из автозагрузки?
-
Сообщение от
O_Kl
Уточните, плз, что было сделано мной неправильно при формировании логов для отправки Вам?
Сделано все было правильно. После скрипта их просто надо повторить.
Добавлено через 24 секунды
Сообщение от
O_Kl
2. Скажите, пожалуйста, как мне удалить Авиру из автозагрузки?
Ее надо деинсталлировать станд. деинсталлером.
Последний раз редактировалось PavelA; 30.01.2010 в 12:25.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Не дадите ссылку на деинсталлер?
-
Надо на сайте Авиры искать, или на Касперском посмотреть. У них была утилита длядеинсталляции многих а/вирусов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Авира удалена из автозапуска через msconfig.
Выполнение Вашего скрипта через AVZ при стандартном режиме загрузки подвесило комп, пришлось делать Резет. В каком режиме скрипт надо запускать?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Спасибо, Авира удалена.
На скрипте комп опять завис, опять пришлось делать Резет.
Дальнейшие действия?
-
Что вот это знаете \Автозагрузка\Reboot.exe?
В карантин что-нибудь попало?
Логи надо повторить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
\Автозагрузка\Reboot.exe - что-то связанное с перезагрузкой... Надо исправить?
Попало ли что в Карантин при запуске скрипта, не знаю. При сегодняшнем запуске что-то красное там на мгновение промелькнуло, но потом сразу же с дисплея все пропало, в т.ч. нижний трей и все иконки. Пришлось опять делать Резет.
Логи повторены, прилагаются.
-
Junior Member
- Вес репутации
- 53
Прошла неделя... Скажите, пожалуйста, примерно когда можно ожидать Вашего ответа?