Показано с 1 по 10 из 10.

Китайские хакеры! (заявка № 51170)

  1. #1
    Junior Member Репутация
    Регистрация
    05.10.2008
    Сообщений
    38
    Вес репутации
    30

    Thumbs up Китайские хакеры!

    Здравствуйте!

    Такая проблема, при подключение к интернету постоянно открываются китайские сайты:

    http://www.caiyi8.com
    http://qianming.eastad8.cn
    http://kk.51kaokaoni.cn
    http://love.kk.shadingding.com
    http://person.9189.com


    Антивирирус(Avast) постоянно сигналит о найденных вирусах в памяти, но дозагрузочное сканирование не излечивает компьютер. Компьютер часто начинает зависать, не открываются нормальные сайты и т.д.
    Вот такая проблема.
    Последний раз редактировалось Rene-gad; 02.08.2009 в 17:44. Причина: деактивировал ссылки

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('vrgv');
     StopService('rfrr');
     StopService('rf');
     StopService('ffffffffffdv');
     StopService('fffff');
     StopService('fdos');
     StopService('fdcd');
     StopService('csgv');
     StopService('clos');
     StopService('clfdsfos');
     StopService('Ativxx');
     QuarantineFile('C:\WINDOWS\Fonts\59F2229D.DLL','');
     QuarantineFile('C:\WINDOWS\Fonts\5298FBB1.EXE','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Hnr61.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
     QuarantineFile('C:\WINDOWS\system32\aspx.exe','');
     QuarantineFile('C:\WINDOWS\system32\W7VXBPSK59\J002.exe','');
     QuarantineFile('C:\WINDOWS\system32\VOCO8PV80X\J001.exe','');
     QuarantineFile('C:\WINDOWS\system32\S4BBXOH7O0\J002.exe','');
     QuarantineFile('c:\windows\system32\rumttoc.dll','');
     QuarantineFile('C:\WINDOWS\system32\NDW52S1L4K\J002.exe','');
     QuarantineFile('C:\WINDOWS\system32\i\K001.exe','');
     QuarantineFile('C:\WINDOWS\system32\i\J002.exe','');
     QuarantineFile('C:\WINDOWS\system32\i\J001.exe','');
     QuarantineFile('c:\windows\system32\cmptes.dll','');
     QuarantineFile('C:\WINDOWS\clile.exe','');
     QuarantineFile('C:\WINDOWS\clfile.exe','');
     QuarantineFile('C:\WINDOWS\clfdfle.exe','');
     QuarantineFile('C:\WINDOWS\Atvxx.exe','');
     DeleteFile('C:\WINDOWS\Atvxx.exe');
     DeleteFile('C:\WINDOWS\clfdfle.exe');
     DeleteFile('C:\WINDOWS\clfile.exe');
     DeleteFile('C:\WINDOWS\clile.exe');
     DeleteFile('c:\windows\system32\cmptes.dll');
     DeleteFile('C:\WINDOWS\system32\i\J001.exe');
     DeleteFile('C:\WINDOWS\system32\i\J002.exe');
     DeleteFile('C:\WINDOWS\system32\i\K001.exe');
     DeleteFile('C:\WINDOWS\system32\NDW52S1L4K\J002.exe');
     DeleteFile('C:\WINDOWS\system32\S4BBXOH7O0\J002.exe');
     DeleteFile('C:\WINDOWS\system32\VOCO8PV80X\J001.exe');
     DeleteFile('C:\WINDOWS\system32\W7VXBPSK59\J002.exe');
     DeleteFile('C:\WINDOWS\system32\aspx.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Hnr61.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\Fonts\5298FBB1.EXE');
     DeleteFile('C:\WINDOWS\Fonts\59F2229D.DLL');
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('ASPX');
     BC_DeleteSvc('vrgv');
     BC_DeleteSvc('rfrr');
     BC_DeleteSvc('rf');
     BC_DeleteSvc('ffffffffffdv');
     BC_DeleteSvc('fffff');
     BC_DeleteSvc('fdos');
     BC_DeleteSvc('fdcd');
     BC_DeleteSvc('csgv');
     BC_DeleteSvc('clos');
     BC_DeleteSvc('clfdsfos');
     BC_DeleteSvc('Ativxx');
     BC_DeleteSvc('ctl_w32');
     BC_DeleteSvc('Hnr61');
     BC_DeleteSvc('restore');
     BC_DeleteSvc('tcpsr');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=51170).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.10.2008
    Сообщений
    38
    Вес репутации
    30
    Добрый день!

    Спасибо! Сайты(хакерские) перестали открываться и компьютер больше не виснет.

    Восстановление системы пытался отключить еще в первый раз, но в свойствах не было такой вкладки, смотрел в реестре и тоже не нашел нужной строки, поэтому решил что Восстановление и так отстутствует. Сейчас же, через стороннюю утилиту я его всё-таки отключил.

    Карантин отправил, здесь выкладываю новые логи:

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Однако, судя по логам, восстановление по-прежнему включено...

    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
     QuarantineFile('C:\WINDOWS\Fonts\5298FBB1.EXE','');
     QuarantineFile('C:\WINDOWS\vfhyjh.exe','');
     QuarantineFile('C:\WINDOWS\system32\tgsno.exe','');
     DeleteFile('C:\WINDOWS\system32\tgsno.exe');
     DeleteFile('C:\WINDOWS\vfhyjh.exe');
     DeleteFile('C:\WINDOWS\Fonts\5298FBB1.EXE');
     DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('WinHelp32');
     BC_DeleteSvc('F44253F9');
     BC_DeleteSvc('tgsno');
     BC_DeleteSvc('gjunj');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.

    Проверьте, не появилась ли вкладка Восстановление в свойствах Системы.
    Если появилась - отключите его.

    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    05.10.2008
    Сообщений
    38
    Вес репутации
    30
    Добрый вечер!

    Вкладка "Восстановления" в свойствах к сожалению так и не появилась, но я еще раз попробовал отключить ее с помощью соответствующей утилиты Auslogics Service Manager. Может просто удалить архивы с контрольными точками восстановления системы?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Папку C:\System Volume Information удалите вручную

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\rqmttqc.dll','');
     DeleteFile('c:\windows\system32\rqmttqc.dll');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  8. #7
    Junior Member Репутация
    Регистрация
    05.10.2008
    Сообщений
    38
    Вес репутации
    30
    Здравствуйте!

    Папку Систем Ресторе удалил. Новые логи прикрепляю.
    Еще хочу сказать, что свой антивирус я отключаю след. образом, захожу в программу и деактивирую все провайдеры(т.к. выхода из приложения там нет). А отключить полностью в трее не могу, не знаю какими модулями подписан Аваст, т.е. нет там имен типа avast.exe.

    Карантин залил по соответствующей ссылке.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Alex9999 Посмотреть сообщение
    А отключить полностью в трее не могу.
    Ok
    - В логах ничего подозрительного.
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  10. #9
    Junior Member Репутация
    Регистрация
    05.10.2008
    Сообщений
    38
    Вес репутации
    30
    Хорошо, большое спасибо Вам за помощь и советы!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\fonts\5298fbb1.exe - Trojan.Win32.Agent.cvgh ( DrWEB: Trojan.Popwin.1161, BitDefender: Win32.Worm.Winko.I )
      2. c:\windows\fonts\59f2229d.dll - Trojan-Downloader.Win32.Agent.clad ( DrWEB: Trojan.Popwin.1161, BitDefender: Win32.Worm.Winko.I )
      3. c:\windows\system32\rqmttqc.dll - Backdoor.Win32.PcClient.beii ( DrWEB: BackDoor.Siggen.138, BitDefender: Gen:Trojan.Heur.eC8@u4NrUWlb )
      4. c:\windows\system32\tgsno.exe - Trojan-Downloader.Win32.Apher.gmf ( DrWEB: Trojan.DownLoad.41529, BitDefender: Trojan.Downloader.Agent.AAQE )
      5. c:\windows\system32\winhelp32.exe - Trojan-Dropper.Win32.Agent.ayqh ( DrWEB: BackDoor.Darkshell.96 )
      6. c:\windows\vfhyjh.exe - Trojan-Downloader.Win32.Agent.claa ( DrWEB: Trojan.DownLoad.42397 )


  • Уважаемый(ая) Alex9999, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Операция «Night Dragon»: китайские хакеры идут в наступление
      От Ilya Shabanov в разделе Новости интернет-пространства
      Ответов: 0
      Последнее сообщение: 11.02.2011, 00:10
    2. Китайские хакеры похитили исходники системы авторизации Google
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 21.04.2010, 09:42
    3. Ответов: 0
      Последнее сообщение: 07.04.2010, 10:22
    4. Китайские хакеры взломали сайт кинофестиваля
      От Kuzz в разделе Новости интернет-пространства
      Ответов: 0
      Последнее сообщение: 27.07.2009, 14:25
    5. Китайские хакеры против Мин. обороны США
      От HATTIFNATTOR в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 25.11.2005, 00:28

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00238 seconds with 21 queries