Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Атакован "russo turisto" со товарищи. (заявка № 109827)

  1. #1
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20

    Thumbs down Атакован "russo turisto" со товарищи.

    Netbook asus eee pc
    Антивирус не был установлен - как результат пропал доступ к интернету и появились исполняемые файлы типа "новая папка.ехе". После этого владелец (сосед) установил Нортон Интернет Секьюрити Нетбук Эдишен( не обновляется - хотя сеть показывает нормально). Просканировал - удалил 8 файлов, перезагрузился и снова удалил те ж файлы. И так по кругу. Потом был установлен троян ремувер, результат тот же. В диспетчере задач висят процессы ebra.exe conami.exe и другие. В безопасном режиме не грузится - сразу бсод.
    Старался все сделать по правилам.
    Если что не так - не пинайте строго, все-таки впервые
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) QwertyTester, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\WINDOWS.exe','');
     QuarantineFile('C:\Program Files\Program Files.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Ссылки\Ссылки.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Моя музыка\Новая папка.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Моя музыка\Моя музыка.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Моя музыка\Мои списки воспроизведения\Мои списки воспроизведения.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Мои рисунки\Новая папка.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Мои рисунки\Мои рисунки.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Мои рисунки\Изображение\Изображение.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Мои видеозаписи\Мои видеозаписи.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Избранное\Веб-узлы Майкрософт\Веб-узлы Майкрософт.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Local Settings\Application Data\Microsoft\CD Burning\Новая папка.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\Cursors\services.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\zeswrx1qp6.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\vi1kwah3sg.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\pj6vi7wlh9.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\l0ym04fyv1.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\iqid94q0.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Application Data\dfhbt3y.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\Application Data\KB259517.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\6szzkoiujs.exe','');
     QuarantineFile('C:\Documents and Settings\автокласс\0897xrxk.exe','');
     QuarantineFile('c:\windows\temp\vrt5.tmp','');
     TerminateProcessByName('c:\windows\temp\vrt5.tmp');
     QuarantineFile('c:\windows\temp\vrt34.tmp','');
     TerminateProcessByName('c:\windows\temp\vrt34.tmp');
     QuarantineFile('c:\windows\temp\vrt2.tmp','');
     TerminateProcessByName('c:\windows\temp\vrt2.tmp');
     QuarantineFile('c:\documents and settings\автокласс\application data\dfhbt3y.exe','');
     TerminateProcessByName('c:\documents and settings\автокласс\application data\dfhbt3y.exe');
     QuarantineFile('c:\windows\system32\atrace.exe','');
     TerminateProcessByName('c:\windows\system32\atrace.exe');
     QuarantineFile('c:\windows\system32\acledit.exe','');
     TerminateProcessByName('c:\windows\system32\acledit.exe');
     DeleteFile('c:\windows\system32\acledit.exe');
     DeleteFile('c:\windows\system32\atrace.exe');
     DeleteFile('c:\documents and settings\автокласс\application data\dfhbt3y.exe');
     DeleteFile('c:\windows\temp\vrt2.tmp');
     DeleteFile('c:\windows\temp\vrt34.tmp');
     DeleteFile('c:\windows\temp\vrt5.tmp');
     DeleteFile('C:\Documents and Settings\автокласс\0897xrxk.exe');
     Deletefilemask('c:\windows\temp','vrt*.tmp',true);
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','0897xrxk');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','0897xrxk');
     DeleteFile('C:\Documents and Settings\автокласс\6szzkoiujs.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','6szzkoiujs');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','6szzkoiujs');
     DeleteFile('C:\Documents and Settings\автокласс\Application Data\KB259517.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','KB259517.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KB259517.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Application Data\dfhbt3y.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','38t2');
     DeleteFile('C:\Documents and Settings\автокласс\iqid94q0.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','iqid94q0');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','iqid94q0');
     DeleteFile('C:\Documents and Settings\автокласс\l0ym04fyv1.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','l0ym04fyv1');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','l0ym04fyv1');
     DeleteFile('C:\Documents and Settings\автокласс\pj6vi7wlh9.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','pj6vi7wlh9');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','pj6vi7wlh9');
     DeleteFile('C:\Documents and Settings\автокласс\vi1kwah3sg.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','vi1kwah3sg');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','vi1kwah3sg');
     DeleteFile('C:\Documents and Settings\автокласс\zeswrx1qp6.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','zeswrx1qp6');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','zeswrx1qp6');
     DeleteFile('C:\WINDOWS\Cursors\services.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smwcore');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    ClearHostsFile;
     DeleteFile('C:\Documents and Settings\автокласс\Local Settings\Application Data\Microsoft\CD Burning\Новая папка.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Веб-узлы Майкрософт\Веб-узлы Майкрософт.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Мои видеозаписи\Мои видеозаписи.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Мои рисунки\Изображение\Изображение.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Мои рисунки\Мои рисунки.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Мои рисунки\Новая папка.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Моя музыка\Мои списки воспроизведения\Мои списки воспроизведения.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Моя музыка\Моя музыка.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Мои документы\Моя музыка\Новая папка.exe');
     DeleteFile('C:\Documents and Settings\автокласс\Избранное\Ссылки\Ссылки.exe');
     DeleteFile('C:\Program Files\Program Files.exe');
     DeleteFile('C:\WINDOWS\WINDOWS.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    У Вас файловый вирус, необходимо пролечится так--http://virusinfo.info/showthread.php?t=15927

    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20

    Скрипт выполнил

    Скрипт выполнил. Только сразу же появилась сеть и началась отправка спама с нетбука...
    Теперь загрузка цп 100% и вирусня в диспетчере задач постоянно перемещается (по загруженности процессов видно)
    И теперь видать спамю..
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    У Вас файловый вирус, необходимо пролечится так--http://virusinfo.info/showthread.php?t=15927
    Лечитесь. Вирус на месте. Скачайте Kaspersky Rescue Disk--http://support.kaspersky.ru/viruses/...?qid=208641245
    Запишите образ на USB-носитель, загрузитесь с него и просканируйте нетбук.

    З.Ы. скачивать и записывать образ диска надо на чистом ПК
    Последний раз редактировалось Шапельский Александр; 28.09.2011 в 22:35. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20
    Приветствую. В общем ничего толком не получилось:
    Все сделал (как выше описано) качнул Kaspersky Rescue Disk при попытке загрузится с флешки (писал на 2 разных) неудача. Не может прогрузится до конца и зависает.
    Висит по нескольку часов без движения.
    Скачал Dr.Web® LiveUSB - загрузился с него сразу, сканировал 5 часов. Итог - после рестарта после ввода логина/пароля - появляется картинка рабочего стола и тут же завершение сеанса и закрытие сетевых подключений. В безопасном режиме - бсод.
    Так как это asus eee pc - не могу снять с него винт для отдельного сканирования.....
    Кстати - поддержатьпроект через яндекс деньги тоже не получается - почему то после нажатия подвердить "
    Не удалось завершить платеж. Возможно, вы ошиблись при заполнении платежной формы или на стороне магазина возникли технические проблемы.

    Пожалуйста, вернитесь в магазин и проверьте введенные данные. Если ошибка повторится, обратитесь в службу поддержки, приложив к своему письму скриншот заполненной формы."
    Последний раз редактировалось QwertyTester; 30.09.2011 в 12:27.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    C:\WINDOWS\system32\userinit.exe--проверьте есть ли файл. Если есть, замените из чистой системы.
    Также проверьте в реестре эту запись--HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit значение C:\WINDOWS\system32\userinit.exe, (запятая в конце)
    Для этого лучше использовать ERD Commander (для Windows XP – версия 2005 (5.0))
    Для правки в реестре: Пуск - Выполнить - erdregedit

  9. #8
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20
    Извиняюсь - переводится, просто через гугл хром висит. Отправил через ie9

    Добавлено через 1 минуту

    Цитата Сообщение от Шапельский Александр Посмотреть сообщение
    C:\WINDOWS\system32\userinit.exe--проверьте есть ли файл. Если есть, замените из чистой системы.
    Также проверьте в реестре эту запись--HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit значение C:\WINDOWS\system32\userinit.exe, (запятая в конце)
    Для этого лучше использовать ERD Commander (для Windows XP – версия 2005 (5.0))
    Для правки в реестре: Пуск - Выполнить - erdregedit
    Извиняюсь - переводится, просто через гугл хром висит. Отправил через ie9

    Да - над этим и тружусь

    Добавлено через 29 минут

    Увы.. файла userinit не было - залил с чистой системы. Теперь даже не доходит до выбора профиля. После прогрузки хр висит синий экран (не бсод) и уходит со временем в спящий режим. В реестре путь правильный
    Последний раз редактировалось QwertyTester; 30.09.2011 в 13:09. Причина: Добавлено

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Проверьте еще этот файл--C:\WINDOWS\explorer.exe
    Если есть, замените на чистый.

  11. #10
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20
    Извиняюсь за паузы в ответах, между офисами приходиться ездить.
    Итак:
    Проверьте еще этот файл--C:\WINDOWS\explorer.exe
    Если есть, замените на чистый.
    сделано тоже (с чистого компа) Долго грузился - зашел.
    Кажется нет ни одного экзешника...
    Не определяется флешка (внешняя) как мне закинуть теперь AVZ чтоб снова прислать логи? Сети нет (вообще)

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Запустите из командной строки: Пуск | Выполнить | cmd | sfc /scannow
    Утилите потребуется инсталляционный диск с операционной системой.
    У вас установлен Service Pack 3, потребуется диск с интегрированным SP3.

  13. #12
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20
    Цитата Сообщение от Шапельский Александр Посмотреть сообщение
    потребуется диск с интегрированным SP3.
    тут нетбук, привода нет, усб-шный двд-ром не видит (драйвера для устройств не ставится похоже)

  14. #13

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от QwertyTester Посмотреть сообщение
    Кажется нет ни одного экзешника...
    В настройках сканирования DrWeb LiveUSB похоже было указано действие Перемещать (или Удалять) зараженные файлы. Отсюда и проблемы при заражении файловым вирусом

    Добавлено через 1 минуту

    Цитата Сообщение от QwertyTester Посмотреть сообщение
    усб-шный двд-ром не видит
    А в BIOS oн определяется?
    Последний раз редактировалось thyrex; 01.10.2011 в 10:48. Причина: Добавлено
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20
    Да в биосе он есть. Но в системе потом не появляется. Как и флешки - в биосе есть, после загрузки - нет.

    Запустите из командной строки: Пуск | Выполнить | cmd | sfc /scannow
    не удается натйи файл sfc ))) - нашел массу файлов - с переименованным екзешником. Но рядом есть обычные экхешые файлы (от других приложений) Значит переименованы зараженые/подозрительные? Нет меню пуск, в панель управления попасть немогу - винда дает выбор "чем открыть этот файл?"

    Добавлено через 16 минут

    Цитата Сообщение от Шапельский Александр Посмотреть сообщение
    Надо записать образ ОС на флешку--пример http://nastroysoft.ru/winxp-with-usb/
    все равно не видит флехи. Питание на флешку идет, но данные не считываются. (флешка просто горит не моргая)
    Последний раз редактировалось QwertyTester; 01.10.2011 в 13:43. Причина: Добавлено

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Обычно DrWeb может переименовывать зараженные файлы (особенно системные), меняя одну букву в расширении на #, по-моему
    У Вас именно такой случай?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. thyrex получил(а) благодарность за это сообщение от


  19. #17
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20
    Цитата Сообщение от thyrex Посмотреть сообщение
    Обычно DrWeb может переименовывать зараженные файлы (особенно системные), меняя одну букву в расширении на #, по-моему
    У Вас именно такой случай?
    Именно так !

  20. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Хм, попробуйте так

    1. Записать на флешку http://support.kaspersky.ru/faq/?qid=208636998
    2. Загрузиться с какого-либо LiveCD
    3. Попробовать запустить утилиту, записанную на флешку. Она что-либо нашла и вылечила?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. thyrex получил(а) благодарность за это сообщение от


  22. #19
    Junior Member Репутация
    Регистрация
    28.09.2011
    Адрес
    Kazan
    Сообщений
    12
    Вес репутации
    20
    Цитата Сообщение от thyrex Посмотреть сообщение
    Хм, попробуйте так

    1. Записать на флешку http://support.kaspersky.ru/faq/?qid=208636998
    2. Загрузиться с какого-либо LiveCD
    3. Попробовать запустить утилиту, записанную на флешку. Она что-либо нашла и вылечила?
    Загрузился с флешки, запустил - пишет cure видимо все таки лечит. Файлов много очень

  23. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Дождитесь окончания лечения и затем пробуйте заменять в именах файлов символы # нужной буквой. Если файлов много, придется поднапрячься. После этого пробуйте стартовать
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) QwertyTester, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. worm.win32 Russo Turisto.b
      От xxxDOBROxxx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.08.2008, 10:41
    3. Ответов: 1
      Последнее сообщение: 24.05.2008, 22:45
    4. win32/Russo Turisto
      От munhauzen в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.04.2007, 16:48
    5. Сайт "Кавказ-Центра" атакован хакерами
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 09.03.2006, 16:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00597 seconds with 22 queries