Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Компьютер после вирусной атаки, началось с кражи пароля от mail.ru (заявка № 52685)

  1. #1
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27

    Exclamation Компьютер после вирусной атаки, началось с кражи пароля от mail.ru

    Буду безумно благодарна за помощь!
    Не однократно лечила у себя вирус csrcs.exe различными антивирусами (может это важно)! Появилась в доме флешка, на которой муж носил документы на работу, где и выяснилось что в компе живут вирусы. В это же время пропал доступ к настройкам рабочего стола (Свойства:Экран->вкладки "Рабочий стол" и "Заставка"). В то время не придала этому значения.
    Недавно был украден пароль от почтового ящика mail.ru Две недели назад при загрузке компа выскочило окно с просьбой ввести код активации, который надо получить через sms - я вместо этого изменила дату в BIOSe (нет отката системы, или не находится).
    В итоге компьютер поработал пару дней, но запускался только с изменением даты. После чего он сдох! Не запускался даже BIOS!
    Что теперь? Можно полечить?
    До сих пор нет "Диспечера задач", хотя свойства экрана после использования AVZ - появились!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{4CAB0A25-330C-4F90-B17C-10FE9C8BB706}');
     QuarantineFile('C:\WINDOWS.0\DOWNLO~1\M4WEBS~1.DLL','');
     QuarantineFile('crypt.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\ntos.exe','');
     BC_DeleteSvc('Wingk60');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wingk60.sys','');
     BC_DeleteSvc('WebClientRpcSs');
     BC_DeleteSvc('TapiSrvlanmanserver');
     BC_DeleteSvc('RDSessMgrThemes');
     BC_DeleteSvc('CryptSvcBITS');
     BC_DeleteSvc('AlerterThemes');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Wingk60.sys');
     DeleteFile('C:\WINDOWS.0\system32\ntos.exe');
     DeleteFile('C:\WINDOWS.0\system32\sdra64.exe');
     DeleteFile('crypt.dll');
     DeleteFile('C:\WINDOWS.0\DOWNLO~1\M4WEBS~1.DLL');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    такой http://www.gmer.net/ лог сделайте ...

  4. #3
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Все сделала
    А что лечим?
    Не уверена, что все правильно сделала в gmer, может еще раз надо проверить?
    Последний раз редактировалось Jane_V; 22.08.2009 в 10:12.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Лог gmer сделайте, как написано тут

  6. #5
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Я так и думала, спасибо, пойду делать!

    Вот все сделала!

    Еще бы понимать, что я делаю
    Ну, так, на будущее!
    Вложения Вложения
    • Тип файла: log gmer.log (283.2 Кб, 4 просмотров)
    Последний раз редактировалось Rene-gad; 22.08.2009 в 11:14.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\drivers\vsfocevatskbyn.sys','');
     QuarantineFile('c:\windows\system32\vsfoceksmusiwu.dll','');
     QuarantineFile('c:\windows\system32\vsfoceiumpcbxu.dat','');
     QuarantineFile('c:\windows\system32\vsfoceyveotjvy.dll','');
     QuarantineFile('c:\windows\system32\vsfocenkqvnxne.dat','');
     QuarantineFile('c:\windows\system32\vsfoceioijwsqt.dat','');
     QuarantineFile('c:\windows\system32\vsfocebnexmejw.dll','');
     QuarantineFile('c:\windows\system32\vsfoceobwwkipm.dll','');
     QuarantineFile('c:\windows\system32\vsfocekipxmywc.dat','');
     QuarantineFile('c:\windows\system32\drivers\vsfoceivkosdpp.sys','');
     DeleteFile('c:\windows\system32\vsfocenkqvnxne.dat');
     DeleteFile('c:\windows\system32\vsfoceobwwkipm.dll');
     DeleteFile('c:\windows\system32\vsfocekipxmywc.dat');
     DeleteFile('c:\windows\system32\drivers\vsfoceivkosdpp.sys');
     DeleteFile('c:\windows\system32\vsfocebnexmejw.dll');
     DeleteFile('c:\windows\system32\drivers\vsfocevatskbyn.sys');
     DeleteFile('c:\windows\system32\vsfoceyveotjvy.dll');
     DeleteFile('c:\windows\system32\vsfoceiumpcbxu.dat');
     DeleteFile('c:\windows\system32\vsfoceksmusiwu.dll');
     DeleteFile('c:\windows\system32\vsfoceioijwsqt.dat');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сохраните текст ниже как 123.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service vsfocejlqekxwm
    gmer.exe -del service vsfocettarrfhi
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet016\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet018\Services\vsfocejlqekxwm"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet018\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocejlqekxwm"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocettarrfhi"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet020\Services\vsfocejlqekxwm"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet020\Services\vsfocettarrfhi"
    gmer.exe -reboot
    И запустите 123.bat.
    Компьютер перезагрузится.

    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    Повторите логи AVZ + Gmer

    Цитата Сообщение от Jane_V Посмотреть сообщение
    Еще бы понимать, что я делаю
    Ну, так, на будущее!
    Выполняете исследование системы

  8. #7
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Вот, сделано
    Ну вот, вроде все правильно прочитала, и в прошлый раз все правильно сделала, а теперь... Нет, надо делать ночью, когда ребенок спит
    Очень извиняюсь за ошибку!
    Вложения Вложения
    Последний раз редактировалось Jane_V; 25.08.2009 в 17:14. Причина: Плохо сделано. Карантин был удален.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Прикрепите virusinfo_syscure.zip, карантин открепите.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  10. #9
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Я правильно понимаю, карантин, это то что virusinfo_cure.zip? И его уже удалили?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Абсолютно правильно.

    Проблемы наблюдаются?
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  12. #11
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Если не считать первоначальных проблем с отсутствием "Диспечера задач" и чего-то с Outpost -пишет: "Невозможно открыть данную программу из-за политики ограничения программного обеспечения. За дополнительной информацией обратитесь к системному администратору..."
    Я его до этого не трогала, он не удалился и не запускается и не переустанавливается, я так понимаю, что его в реестре надо вычищать?
    В остальном вроде все стабильно работает!
    И еще не знаю, должна ли обязательно существовать функция "Отката системы"? У меня ее нет!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Сделайте такой лог: http://virusinfo.info/showpost.php?p=454444&postcount=3
    Потом такой: http://www2.gmer.net/mbr/mbr.exe

  14. #13
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Уже столько всего применили! Надеюсь мой комп выдержит это испытание
    Вложения Вложения
    • Тип файла: txt avenger.txt (2.1 Кб, 3 просмотров)
    • Тип файла: log mbr.log (329 байт, 3 просмотров)

  15. #14
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    А может кто знает как из Mail.ru Agent выцепить свой пароль? А то агент запускается, и пишет, что у меня там 180 сообщений, а посмотреть я не могу, служба поддержки меня игнорирует.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    В AVZ меню Файл - Восстановление системы - отметьте галочкой строку:
    6. Удаление всех Policies ...
    и нажмите кнопку "Выполнить операции"
    Цитата Сообщение от Jane_V Посмотреть сообщение
    А может кто знает как из Mail.ru Agent выцепить свой пароль?
    Пароль такой же как и на почту.

  17. #16
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Пароль такой же как и на почту.
    Ага, только пароля от почты я не знаю, в названии темы об этом даже написано!

    Добавлено через 11 минут

    Так просто! Спасибо! Диспечер задач появился!
    Осталось выципить парольот mail.ru и можно жить!
    Последний раз редактировалось Jane_V; 26.08.2009 в 12:17. Причина: Добавлено
    Главное не знать, а понимать, а я не понимаю )))

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Пожалуйста.
    Цитата Сообщение от Jane_V Посмотреть сообщение
    пароля от почты я не знаю, в названии темы об этом даже написано!
    Там написано, что ваш пароль украли, то, что его сменили, не написано.

  19. #18
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Там все сложнее, почта действительно была взломана, были изменены некоторые мои анкетные данные, один раз я пароль получила, тут же сменила, отключила авто входы в почту и агент и через час уже сама не смогла попасть в почту, хотя агент работает Это конечно лирика, но на этот почтовый ящик инфа по работе приходит

    А как себя чувствует моя система? Уже все можно наставлять антивирусняков и наедятся, что они справятся?
    Главное не знать, а понимать, а я не понимаю )))

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от Jane_V Посмотреть сообщение
    Уже все можно наставлять антивирусняков и наедятся, что они справятся?
    "Наставлять" нужно и надеятся можно. Только, они не справятся пока не будут устранены уязвимости в Windows и в Adobe Acrobat .

  21. #20
    Junior Member Репутация
    Регистрация
    21.08.2009
    Адрес
    Москва
    Сообщений
    25
    Вес репутации
    27
    Мда, а какие там уязвимости? Что-то я видать пропустила! Как чинить?
    Главное не знать, а понимать, а я не понимаю )))

  • Уважаемый(ая) Jane_V, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. после вирусной атаки
      От Александр45 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.11.2011, 13:05
    2. После вирусной атаки
      От Lucifer112 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.02.2011, 03:37
    3. Проблемы после вирусной атаки
      От Antonditto в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.04.2010, 19:11
    4. После вирусной атаки
      От sergb в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.03.2009, 13:50
    5. После вирусной атаки.
      От VladYur в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 04:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01288 seconds with 24 queries