-
Junior Member
- Вес репутации
- 53
Security tool
Привет всем!
Всплыло сегодня. Ваш компьютер заражен. Бла бла бла.
Постарался все сделать по инсрукции. Но комп в удаленке, в безопасном режиме загрузится соответсвенно не могу и отключи ьего от инета не могу согласно некоторым пунктам. В остальном присылаю логи.
Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\SNOVIK~1\LOCALS~1\Temp\~TMA3.tmp','');
QuarantineFile('c:\docume~1\alluse~1\applic~1\63510621\63510621.exe','');
QuarantineFile('C:\Documents and Settings\snovikova\Start Menu\Programs\Startup\sysupd32.exe','');
DeleteFile('C:\Documents and Settings\snovikova\Start Menu\Programs\Startup\sysupd32.exe');
DeleteFile('c:\docume~1\alluse~1\applic~1\63510621\63510621.exe');
DeleteFile('C:\DOCUME~1\SNOVIK~1\LOCALS~1\Temp\~TMA3.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','63510621');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','63510621');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Пофиксите Hijackthis (то что останется)
Код:
O4 - HKLM\..\Run: [63510621] C:\DOCUME~1\ALLUSE~1\APPLIC~1\63510621\63510621.exe
O4 - HKCU\..\Run: [photo_id] C:\DOCUME~1\SNOVIK~1\LOCALS~1\Temp\~TMA3.tmp
O4 - HKCU\..\Run: [63510621] C:\DOCUME~1\ALLUSE~1\APPLIC~1\63510621\63510621.exe
O4 - Startup: sysupd32.exe
Закачайте карантин по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил. Фиксить в HJT было не чего. Карантин закачал.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Новые логи делайте
Пардон, про логи не углядел.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\snovikova\userinit.exe','');
DeleteFile('c:\documents and settings\snovikova\userinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Установите Adobe Acrobat 9.2 или удалите старый
Последний раз редактировалось thyrex; 14.11.2009 в 00:40.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
2thyrex:
Успел выполнить скрипт в первом варианте Вашего сообщения. Беда нет?
Второй выполнил, Высылаю карантин. Логи через 5 минут
Поставил 9 акробат
Последний раз редактировалось aeroden; 14.11.2009 в 01:30.
-
Junior Member
- Вес репутации
- 53
все конечно хорошо, но на комп свалился в автономный режим, перестали работать групоовые политики. влогах ошибки Userenv 1020 и 1096.
-
Сообщение от
aeroden
но на комп свалился в автономный режим, перестали работать групоовые политики. влогах ошибки Userenv 1020 и 1096.
А у Вас он работал в качестве сервера????
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
А у Вас он работал в качестве сервера????
workstation в домене
-
Прошу прощения за причиненные неудобства.
Но о настроенных групповых политиках по логам не скажешь, а Вы не предупредили.
Групповые политики придется настраивать заново
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Зашибись конечно. В правилах сказано "пакет протоколов исследования системы". И все! Ни слова про предоставление информации о компе как об обьекте сети. Я к Вам обратился как к специалистам, предоставив логи, посчитав что они Вам все скажут. Если Вы специалист, то почему не посчитали, что Вам этой информации недостаточно ("по логам не скажешь")? Почему не запросили у меня доп информации? Или же ошибся форумом и здесь "лечат" только домашние компы или компы в раб группе?
Вобщем парни. Все равно спасибо за помощь в удалени вируса. Но Вы хотя бы измените правила, добавьте в них пункт о предоставлении информации о компе, хотя бы ipconfig /all. А с групповыми политиками я как-нибудь разберусь.
Тему можно закрывать. Решено.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\snovikova\start menu\programs\startup\sysupd32.exe - Trojan-Dropper.Win32.HDrop.b ( AVAST4: Win32:Small-NCV [Trj] )
- c:\docume~1\alluse~1\applic~1\63510621\63510621.ex e - Packed.Win32.Krap.ai
- c:\docume~1\snovik~1\locals~1\temp\~tma3.tmp - Trojan-Downloader.Win32.Mutant.gph
-