Здраствуйте проблема в следующем: В папке User/* создаються exe файлы размером 10.3мб с названием wrt(цифры),install.res(цифры),Backup_rev,redist.Пр и подключении флешки все exe файлы меняються в размере до 3.4мб.
Здраствуйте проблема в следующем: В папке User/* создаються exe файлы размером 10.3мб с названием wrt(цифры),install.res(цифры),Backup_rev,redist.Пр и подключении флешки все exe файлы меняються в размере до 3.4мб.
Последний раз редактировалось mrak74; 08.05.2013 в 21:09.
Уважаемый(ая) Craz, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\manifeststore\svchost.exe'); QuarantineFile('C:\Windows\System32\manifeststore\svchost.exe',''); DeleteFile('C:\Windows\System32\manifeststore\svchost.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Print service'); BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте полный образ автозапуска uVS.
WBR,
Vadim
карантин отправил и вот полный образ автозапуска uVS
Последний раз редактировалось mrak74; 08.05.2013 в 21:10.
Выполните скрипт в uVSКомпьютер перезагрузится.Код:;uVS v3.77.12 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 offsgnsave zoo %Sys32%\MANIFESTSTORE\WMDC.EXE ; C:\WINDOWS\SYSTEM32\MANIFESTSTORE\WMDC.EXE addsgn 1A9E749A55837A8FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 16 Trojan.Win32.Agentb.fpr [Kaspersky] zoo %SystemRoot%\UNINST.EXE delall %SystemRoot%\UNINST.EXE zoo D:\DOWNL\L2C04RUX.EXE delall D:\DOWNL\L2C04RUX.EXE chklst delvir deltmp restart
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните скрипт в uVSБудет создан новый полный образ автозапуска, прикрепите его к своему следующему сообщению.Код:;uVS v3.77.12 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 offsgnsave adddir %Sys32%\MANIFESTSTORE crimg chklst delvir deltmp
WBR,
Vadim
отправил
- - - Добавлено - - -
Большая просьба помогающим не удалять тему,я ухожу в отпуск до вторника,дальнейшие действия смогу произвести только через неделю.С Пасхой Вас.
Последний раз редактировалось mrak74; 08.05.2013 в 21:11.
Сделайте логи RSIT.
Сделайте лог полного сканирования МВАМ.
WBR,
Vadim
запрашиваемые логи
Удалите в MBAM:Удалите MBAM через панель управления, крайне не рекомендуется использовать его в качестве полноценного антивируса, тем более при наличии в системе ещё одного, тем более крякнутый...Код:D:\Soft\Unlocker 1.8.9\unlocker1.8.9.exe (Bundled.Clicker.NSIS) -> Действие не было предпринято. D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0032040.exe (RiskWare.Tool.CK) -> Действие не было предпринято. D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033058.exe (Trojan.Spambot) -> Действие не было предпринято. D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033540.exe (Trojan.Agent) -> Действие не было предпринято. D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033622.exe (Trojan.KillAV) -> Действие не было предпринято. D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033664.exe (Trojan.Spambot) -> Действие не было предпринято. D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033665.exe (Trojan.Spambot) -> Действие не было предпринято.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Что с проблемой?
WBR,
Vadim
все выполнил уязвимостей AVZ необнаружил,но файлы всеравно еще создаються.Могу предоставить удаленый доступ тимвьювером или амми.
Сделайте лог ComboFix.
WBR,
Vadim
Лог
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\ProgramData:mate',''); QuarantineFileF('C:\Qoobox\Quarantine', '*.*', True,'', 0, 0, '', '', ''); DeleteFile('C:\ProgramData:mate'); ExecuteFile('c:\users\Serg\Downloads\ComboFix.exe', '/uninstall', 0, 25000, false); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
WBR,
Vadim
отправленно
Да, конкретно взламывают...
Сделайте лог MiniToolBox при подключённом интернете.
Включите брандмауэрWindows (если отключен).
Смените (либо установите) пароль администратора.
Общий доступ к папке c:\users\Public включен? Если да - отключите. Есть другие компьютеры в сети?
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
уязвимостей ненайдено,доступ к паблик был закрыт, компьютер находиться в локальной сети - в ней присутсвуют 2 компьютера с такой же проблемой,но они целый день выключены.
192.168.1.1 - это что, сервер, роутер?
Кстати, не мешает сделать проверку системного раздела обычным системным чекдиском, там, похоже, проблемы есть.
Что с основной проблемой?
WBR,
Vadim
да стоит роутер,чекдиски зделаю,саднрой на беды тож пройдусь.Пока не ввижу чтобы файлы создавались перезагружусь пару раз
На роутере перенаправление портов каких-нибудь на этот компьютер настроено?
WBR,
Vadim
Насколько мне известно то нет,роутер напрямую подключен в стойку к провайдеру
Уважаемый(ая) Craz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.