Показано с 1 по 13 из 13.

Security tool (заявка № 60200)

  1. #1
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    32
    Вес репутации
    53

    Thumbs up Security tool

    Привет всем!

    Всплыло сегодня. Ваш компьютер заражен. Бла бла бла.

    Постарался все сделать по инсрукции. Но комп в удаленке, в безопасном режиме загрузится соответсвенно не могу и отключи ьего от инета не могу согласно некоторым пунктам. В остальном присылаю логи.

    Спасибо

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\DOCUME~1\SNOVIK~1\LOCALS~1\Temp\~TMA3.tmp','');
     QuarantineFile('c:\docume~1\alluse~1\applic~1\63510621\63510621.exe','');
     QuarantineFile('C:\Documents and Settings\snovikova\Start Menu\Programs\Startup\sysupd32.exe','');
     DeleteFile('C:\Documents and Settings\snovikova\Start Menu\Programs\Startup\sysupd32.exe');
     DeleteFile('c:\docume~1\alluse~1\applic~1\63510621\63510621.exe');
     DeleteFile('C:\DOCUME~1\SNOVIK~1\LOCALS~1\Temp\~TMA3.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','63510621');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','63510621');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
     BC_ImportALL;
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Пофиксите Hijackthis (то что останется)
    Код:
    O4 - HKLM\..\Run: [63510621] C:\DOCUME~1\ALLUSE~1\APPLIC~1\63510621\63510621.exe
    O4 - HKCU\..\Run: [photo_id] C:\DOCUME~1\SNOVIK~1\LOCALS~1\Temp\~TMA3.tmp
    O4 - HKCU\..\Run: [63510621] C:\DOCUME~1\ALLUSE~1\APPLIC~1\63510621\63510621.exe
    O4 - Startup: sysupd32.exe
    Закачайте карантин по красной ссылке вверху. Повторите логи
    The Truth is Out There

  4. #3
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    32
    Вес репутации
    53
    Скрипт выполнил. Фиксить в HJT было не чего. Карантин закачал.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Новые логи делайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    32
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    Новые логи делайте
    Пардон, про логи не углядел.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\documents and settings\snovikova\userinit.exe','');
     DeleteFile('c:\documents and settings\snovikova\userinit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Установите Adobe Acrobat 9.2 или удалите старый
    Последний раз редактировалось thyrex; 14.11.2009 в 00:40.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    32
    Вес репутации
    53
    2thyrex:
    Успел выполнить скрипт в первом варианте Вашего сообщения. Беда нет?
    Второй выполнил, Высылаю карантин. Логи через 5 минут

    Поставил 9 акробат
    Последний раз редактировалось aeroden; 14.11.2009 в 01:30.

  9. #8
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    32
    Вес репутации
    53
    все конечно хорошо, но на комп свалился в автономный режим, перестали работать групоовые политики. влогах ошибки Userenv 1020 и 1096.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от aeroden Посмотреть сообщение
    но на комп свалился в автономный режим, перестали работать групоовые политики. влогах ошибки Userenv 1020 и 1096.
    А у Вас он работал в качестве сервера????
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    32
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    А у Вас он работал в качестве сервера????
    workstation в домене

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Прошу прощения за причиненные неудобства.

    Но о настроенных групповых политиках по логам не скажешь, а Вы не предупредили.
    Групповые политики придется настраивать заново
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    13.11.2009
    Сообщений
    32
    Вес репутации
    53
    Зашибись конечно. В правилах сказано "пакет протоколов исследования системы". И все! Ни слова про предоставление информации о компе как об обьекте сети. Я к Вам обратился как к специалистам, предоставив логи, посчитав что они Вам все скажут. Если Вы специалист, то почему не посчитали, что Вам этой информации недостаточно ("по логам не скажешь")? Почему не запросили у меня доп информации? Или же ошибся форумом и здесь "лечат" только домашние компы или компы в раб группе?

    Вобщем парни. Все равно спасибо за помощь в удалени вируса. Но Вы хотя бы измените правила, добавьте в них пункт о предоставлении информации о компе, хотя бы ipconfig /all. А с групповыми политиками я как-нибудь разберусь.

    Тему можно закрывать. Решено.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\snovikova\start menu\programs\startup\sysupd32.exe - Trojan-Dropper.Win32.HDrop.b ( AVAST4: Win32:Small-NCV [Trj] )
      2. c:\docume~1\alluse~1\applic~1\63510621\63510621.ex e - Packed.Win32.Krap.ai
      3. c:\docume~1\snovik~1\locals~1\temp\~tma3.tmp - Trojan-Downloader.Win32.Mutant.gph


  • Уважаемый(ая) aeroden, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. XP Security Tool
      От Tsokol в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.04.2010, 15:44
    2. Security Tool
      От bolshoy kot в разделе Описания вредоносных программ
      Ответов: 2
      Последнее сообщение: 09.03.2010, 22:38
    3. Security Tool
      От paul-13 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.12.2009, 22:19
    4. Security tool
      От Azimgan в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.11.2009, 15:39
    5. вирус Security tool
      От Shinjitsu в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.10.2009, 23:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00486 seconds with 19 queries