Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Отключается брандмауэр (заявка № 40393)

  1. #1
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29

    Thumbs up Отключается брандмауэр

    Проблема такая, похоже поймал вирус.
    Виндовс оповестила о том что Брандмауэр отключен, я его включил захожу на диск с а там появились файлы:cGBCt.bat,Ss2Xr8eT.bat,Ss2Xr8eT2.bat,PQoAn.e xe,PQoAn2.exe и два txt файла VHq.txt содержанием
    read
    123456
    bin
    get calc.exe c:\PQoAn.exe
    bye

    И второй:VHq2.txt
    read
    123456
    bin
    get 449.exe c:\PQoAn2.exe
    bye

    Проверил их нодом не реагирует, ну я их вручную удалил и все.
    Минут через 10 опять выскакивает сообщение о том что брандмауэр выключен и опять появляются файлы такогоже типа только с другими именами и так каждый раз. Если их не удалять набирается целая куча.

    Сделал как у вас написано проверил все каспером , затем cure it в безопастном режиме вирусы нашел в обоих случаях но видимо не тот который нужно.
    Заметил что каждый раз когда появляются файлы в диспетчере задач появляется процесс cmd.exe потом еще один и так по мере накопления файлов(я их позакрывал) А когда собирал логи AVZ , когда выключил каспера Internet securiti 2009 заметил там еще странные процессы типа Ftp.exe и еще один который сильно грузил систему я его вручную закрыл а название не запомнил.
    Вообще хоть как то реагирует только касперский , с ним не отключается брандмауэр, и он предлагает запретить доступ вновь появляющимся exe файлам.
    Прошу помогите !
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\weWcZs.exe','');
     QuarantineFile('c:\fz7PA6.exe','');
     QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
     DeleteService('ati3qvxx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati3qvxx.sys');
     DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
     DeleteFile('c:\fz7PA6.exe');
     DeleteFile('c:\weWcZs.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    Скрипт выполнил, в карантине пусто вроде все делал как написано.
    Логи повторять?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    естественно

  6. #5
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    Возник маленький вопросик: в правилах сказано что после AVZ нужно перезагрузить комп, просто хочу уточнить нужно ли перезагружать комп после выполнения первого скрипта при сборе логов и между вторым, и между вторым и hijackthis или это нужно сделать после сбора всех логов?

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Это нужно делать после 3 стандартного скрипта...

  8. #7
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    Вот новые логи
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Карантин где?

  10. #9
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    Карантин где?
    Скрипт выполнил, в карантине пусто вроде все делал как написано. Логи повторять?
    В карантине и сейчас пусто, или нужно еще раз выполнить предъидущий скрипт?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Пофиксить

    Код:
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Msn] c:\RFYCs.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Msn] c:\RFYCs.exe (User 'Default user')
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('c:\Z8Q.exe');
     DeleteFile('c:\RFYCs.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  12. #11
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    HijackThis больше не находит данные строки.

    Вирус постоянно меняется , у меня в корне диска c уже собралось около 100 подозрительных файлов (.bat .exe .txt) так как я перестал их удалять и постоянно генерируются новые и видимо они становятся активными.
    Пока собирал логи и после выполнения первого скрипта на диске c появились новые файлы папка svc а в ней три файла(svc.bat,svc.cfg,svc.exe) и еще файлы proxy.log.2009.02.24 и proxy.log.2009.02.25 .Каспер в последний час был выключен , открыл диспетчер задач там три процесса X2E1.EXE и что-то качается из интернета.
    Включил каспер , выделил все эти файлы несколько он определил как вирусы.Удалять я не стал - заблокировал.
    Что мне делать если щас собирать логи опять придется отключить каспер , и можно удалить всю эту гадость с диска C прежде чем собирать логи, а то все прибавляется и прибавляется?
    Второй скрипт пока не выполнял так как не нашел то что надо пофиксить.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Пришлите пару exe файлов из корня в архиве с паролем "virus" по красной ссылке вверху темы...

  14. #13
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    Результат загрузки
    Файл сохранён как 090225_010911_virus_49a47007dc844.zip
    Размер файла 300258
    MD5 97c84a9f399e37cfa918f85d1a22c206

    Файл закачан, спасибо!

    Вроде отправил пароль virus без кавычек , я опять специально отключил каспер, и опять один exe появился в диспетчере задачь , он уже не удаляется просто так и весит чуть больше чем остальные, перед тем как заблокировать его каспером заархивировал его . Каспером он определяется как троян только в активном состоянии(когда виден в диспетчере задачь) а в архиве нет, после того когда его заблокировал каспер он исчез, но в архиве остался .
    Это все было уже после того как я залил файл, может стоит перезалить

  15. #14
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    архив пришел?

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    L6xKZD6S2.exe_, OYB2.exe_ - Backdoor.Win32.Agent.aedc

    Детектирование файлов будет добавлено в следующее обновление.

  17. #16
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    Я не совсем понял мои дальнейшие действия?
    Все эти файлы собрал в корзину , и вновь поступающие отправляю туда же ,но не удаляю. Если понадобится могу восстановить.
    Есть ли шанс победить этого супенр зловреда или придется форматировать диск C ?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    сделайте проверку свежим avptool

  19. #18
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    Скачанная по сылке в правилах avptool будет считаться свежей?

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Должна

  21. #20
    Junior Member Репутация
    Регистрация
    23.02.2009
    Сообщений
    20
    Вес репутации
    29
    Так посмотрим что мы имеем процес проверки диска c закончится минут через 50, но уже есть кое что интересненькое.
    Достал перед проверкой из корзинки несколько exe шников, он определил как трояны только exe файлы которые весят столько же сколько те которые я отослал вчера. А вот седня появился допустим который весит 187 кбайт и 0 , и вчерашний весом 16 кбайт на них он никак не отреагировал.
    Когда проверка закончится попробую еще на том вчерашнем который я заархивировал, и подожду новую порцию файлов и попробую на них, тогда отпишу точнее.
    Кстати что-то давно они не появлялись может потому что я в avptools выбрал ручное лечение и ради любопытства нажал сбор информации в системе В конце он что то по закрывал что -то удалил (короче не знаю что он там делал) но потом написал скрипт выполнен успешно.
    Кстати лог остался если надо могу залить.

  • Уважаемый(ая) kamikadzer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Отключается брандмауэр
      От Neri в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.03.2011, 22:34
    2. Брандмауэр Windows отключается
      От realnitro в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.01.2010, 14:50
    3. Ответов: 9
      Последнее сообщение: 18.01.2010, 21:00
    4. Отключается брандмауэр Windows
      От Склеротик в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.04.2009, 15:06
    5. Отключается брандмауэр
      От alexandr-surgut в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.03.2009, 23:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00756 seconds with 21 queries