Показано с 1 по 11 из 11.

проверьте логи (заявка № 63052)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    69
    Вес репутации
    53

    Thumbs up проверьте логи

    После Vba Live CD что-то еще пооставалось.
    Активно что-то качает из интернета и записывает вирус на флэшку.
    Посмотрите, пожалуйста.
    Последний раз редактировалось Tritan; 14.01.2010 в 17:42.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пофиксить в Hijack следующие строки:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполнить скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\cawpjkfg.sys','');
     DeleteService('cawpjkfg');
     QuarantineFile('C:\WINDOWS\system32\drivers\kernelx86.sys','');
     DeleteService('kernelx86');
     QuarantineFile('C:\WINDOWS\System32\Drivers\yknaygeh.sys','');
     DeleteService('yknaygeh');
     QuarantineFile('C:\Documents and Settings\Администратор\av_md.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\av_md.exe','');
     QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\ryrounnem.exe','');
     DeleteService('ypu4ef9eiuiufy4x');
     QuarantineFile('C:\WINDOWS\system32\Drivers\cawpjkfg.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\zgowevhvti3.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\zgowevhvti3.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\cawpjkfg.sys');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\ryrounnem.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
     DeleteFile('C:\WINDOWS\system32\av_md.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     DeleteFile('C:\Documents and Settings\Администратор\av_md.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\yknaygeh.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\kernelx86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\cawpjkfg.sys');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(8);
    Executerepair(11);
    Executerepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

    Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    69
    Вес репутации
    53
    Сделано.
    Последний раз редактировалось Tritan; 14.01.2010 в 17:44.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится tblt0bnf.exe (gmer)

    Код:
    tblt0bnf.exe -del service  jwkrq   
    tblt0bnf.exe -del file "C:\WINDOWS\system32\mkdzhpt.dll"
    tblt0bnf.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jwkrq"
    tblt0bnf.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jwkrq"
    tblt0bnf.exe -reboot
    И запустите cleanup.bat .Компьютер перезагрузится. Сделать новый лог gmer

  6. #5
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    69
    Вес репутации
    53
    Сделано.

  7. #6

  8. #7
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    69
    Вес репутации
    53
    Подключил к интернету. Сетевая активность в норме.

    Поставил Нод с обновленными базами на сканирование. Пока нашел с десяток вредоносов. Жду окончания сканирования.
    Если нужно и можно как-то его карантин вынуть, то я выну и пришлю.

  9. #8
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    69
    Вес репутации
    53
    По аналогии с вот этим моим подопечным компьютером http://virusinfo.info/showthread.php...398#post531398 сделал лог mbam
    По-моему, остались следы.
    Большую часть понял, но вот там где лог ссылается на стандартные части виндоус меня смущает.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Удалите в MBAM следующее
    Код:
    Заражено ключей реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    Заражено значений реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows update (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
    
    C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
    C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Администратор\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Администратор\secupdat.dat (Worm.Autorun) -> No action taken.
    Сделайте новый лог MBAM

  11. #10
    Junior Member Репутация
    Регистрация
    01.12.2009
    Сообщений
    69
    Вес репутации
    53
    Теперь все чисто.
    Спасибо.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Dropper.Win32.HDrop.ac ( DrWEB: Trojan.MulDrop.51829, AVAST4: Win32:Small-NDK [Trj] )
      2. c:\windows\system32\csrcs.exe - Trojan.Win32.Midgare.uik ( DrWEB: archive: Win32.HLLW.Autoruner.based, BitDefender: Trojan.Generic.1343018, AVAST4: Win32:Malware-gen )
      3. c:\windows\system32\drivers\zgowevhvti3.sys - Rootkit.Win32.Tent.anv ( DrWEB: Trojan.NtRootKit.4884, BitDefender: Rootkit.Agent.AJCC, NOD32: Win32/Rootkit.Agent.NPK trojan, AVAST4: Win32:Agent-AHBJ [Rtk] )


  • Уважаемый(ая) Tritan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. проверьте логи
      От Александр22 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.10.2011, 11:43
    2. проверьте логи
      От 2088 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.08.2010, 16:43
    3. Проверьте логи
      От Jook в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2009, 20:25
    4. Проверьте логи
      От Vialendil в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 08:33
    5. проверьте плз логи
      От tohash в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.02.2009, 03:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00596 seconds with 19 queries