Показано с 1 по 9 из 9.

Есть сомнения что я все вычистил (заявка № 65273)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    5
    Вес репутации
    53

    Thumbs up Есть сомнения что я все вычистил

    Принесли ноут с порнобанером смс на номер 9800, порнобанер снял ,введя два разных кода, код взял из поста отсюда http://virusinfo.info/showpost.php?p=542718&postcount=4
    После чего с помощью Spybot, Dr. Web CureIt! и AVPTool вычистил ноут от множества троянов червей и бэкдоров. Посмотрите пожалуйста, может еще что осталось? Radmin ставил сам

    Последний раз редактировалось Sergey21102; 28.12.2009 в 03:16. Причина: Добавление файлов

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    c:\winner5\cup5 - известно что это за папка?

    В HiJackThis пофиксите:

    Код:
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    O23 - Service: Оповещатель Alerterupnphost (Alerterupnphost) - Unknown owner - C:\WINDOWS\TEMP\rdl3D.tmp.exe (file missing)
    O23 - Service: Журналы и оповещения производительности SysmonLogSharedAccess (SysmonLogSharedAccess) - Unknown owner - C:\WINDOWS\TEMP\rdl33.tmp.exe (file missing)

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\winner5\cup5\cup.bin');
     QuarantineFile('C:\WINDOWS\system32\ZBSCRE~2.SCR','');
     QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
     QuarantineFile('C:\Program Files\plugin.exe','');
     DeleteService('SysmonLogSharedAccess');
     QuarantineFile('C:\WINDOWS\TEMP\rdl33.tmp.exe','');
     DeleteService('Alerterupnphost');
     QuarantineFile('C:\WINDOWS\TEMP\rdl3D.tmp.exe','');
     QuarantineFile('C:\winner5\cup5\EasyComLib.dll','');
     QuarantineFile('C:\winner5\cup5\libAAA.dll','');
     QuarantineFile('C:\winner5\cup5\CupLib.dll','');
     QuarantineFile('c:\winner5\cup5\cup.bin','');
     DeleteFile('C:\WINDOWS\TEMP\rdl3D.tmp.exe');
     DeleteFile('C:\WINDOWS\TEMP\rdl33.tmp.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Generic Host for Win32 Services');
     DeleteFile('C:\Program Files\plugin.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
     DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Alerterupnphost');
     BC_DeleteSvc('SysmonLogSharedAccess');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    5
    Вес репутации
    53
    c:\winner5\cup5 - известно что это за папка?
    это папка программы Winner http://www.baza-winner.ru/, хотя хозяин ноута больше бухгалтер, чем реэлтор, завтра уточню, ставили они это или нет.

    - Отключите ПК от интернета/локалки
    От локалки не могу, по крайней мере сейчас, я на нем сейчас удаленно работаю через радмин. Инета у него сейчас нет, выход в инет из локалки через прокси, ноут о об этой прокси ничего "не знает".
    выполнить сейчас скрипты?

    QuarantineFile('C:\WINDOWS\TEMP\rdl3D.tmp.exe','') ;
    я от него до этого еле избавился и сейчас в этой папке такого файла нет, смотрю Far-ом...

    Добавлено через 37 минут

    карантин отправил
    Файл сохранён как 091228_054833_virus_4b381c8117a2d.zip
    Размер файла 1067368
    MD5 d71ada3f8d5b99008a81cb44925a587f
    Последний раз редактировалось Sergey21102; 28.12.2009 в 05:49. Причина: Добавлено

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    5
    Вес репутации
    53
    повторные логи

  7. #6
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    5
    Вес репутации
    53
    Winner ставили только посмотреть и как говорит хозяин ноута не смогли его удалить
    я его уже грохнул...

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Плохого не увидел
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    5
    Вес репутации
    53
    Спасибо!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.bu


  • Уважаемый(ая) Sergey21102, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проверьте пожалуйста есть сомнения.
      От kolyan15 в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 27.07.2012, 14:39
    2. Посмотрите логи, есть сомнения...
      От AlexE2009 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.05.2009, 17:53
    3. Ответов: 4
      Последнее сообщение: 02.05.2009, 15:59
    4. Почистил комп. Есть трояны
      От CJMEX в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.01.2009, 00:57
    5. Посмотрите логи ,есть сомнения
      От MAJ в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.11.2008, 02:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01048 seconds with 17 queries