Показано с 1 по 13 из 13.

Последствия Backdoor.Win32.Bredavi.brp (заявка № 68881)

  1. #1
    Junior Member Репутация
    Регистрация
    26.01.2010
    Адрес
    donetsk
    Сообщений
    7
    Вес репутации
    26

    Thumbs up Последствия Backdoor.Win32.Bredavi.brp

    доброго времени суток. сегодня утром обнаружила, что outpost перестал обновляться, при чем не шел пинг на сайт outpost. проверила таблицу маршрутизации-такого я еще не видала, огромное количество статических маршрутов. почистила, обновила outpost. перегрузила комп и почему-то решила проверить сайты антивирей-не на один опера не зашла, другие сайты открывались нормально. залезла в etc/hosts - модифицированный, все сайты антивирей и помощи по айпишниками присвоены в 0,0,0,0. решила проверить, что такого вчера посещала. настрожил сайтик ginoceidas.net который делал редирект на whitehouse.org/robot.txt-вот тут то я поняла что попала. сканила avz, cureit, outpost-ничего не помогло. спас kaspersky virus removal tool( спасибо, что нашла указание на него у вас на сайте)
    итого
    26.01.2010 14:52:17 Обнаружено: Backdoor.Win32.Bredavi.brp C:\WINDOWS\system32\oqjKVRF.exe

    26.01.2010 14:52:26 Обнаружено: Trojan.Win32.Qhost.mbi C:\WINDOWS\system32\drivers\etc\hosts

    и при попытке зайди однажды на сайт ginoceidas.net не послала на whitehouse.org а начала загружать какой-то апплет. после этого в кэше оперы поселился еще и
    26.01.2010 15:09:58 Обнаружено: Trojan-Downloader.Java.OpenStream.af C:\Documents and Settings\allusa\Local Settings\Application Data\Opera\Opera\cache\opr0D1XN/myf/y/LoaderX.class

    все файлы удалила, но хотелось бы узнать, вдруг остались еще какие-то последствия всего вышеописанного. спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Пофиксить в Hijack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\allusa\LOCALS~1\Temp\kui2E2.tmp
    Перезагрузить ПК, сделать новый лог Hijack

  4. #3
    Junior Member Репутация
    Регистрация
    26.01.2010
    Адрес
    donetsk
    Сообщений
    7
    Вес репутации
    26
    пофиксила....это была еще старая запись от порно-банера )

    а насчет нынешней вышеописанной гадости. теперь проверила всю цепочку.
    1. сначала ginoceidas.net(если повезет, а точнее не повезет-запускается апплет и устанавливает в system32 4 exe файла с корявыми именами и троянами)
    2. модификафия etc/hosts
    3. после перезагрузки модификация таблицы маршрутизации-и фиг вы зайдете на сайт антивирусов
    4. пока еще не узнала чего еще делает, но может кто попадется и продолжит тему.

    лог hijackthis прилагается
    Вложения Вложения

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    26.01.2010
    Адрес
    donetsk
    Сообщений
    7
    Вес репутации
    26
    вот лог
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Удалить в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    Сделать лог MBAM

  8. #7
    Junior Member Репутация
    Регистрация
    26.01.2010
    Адрес
    donetsk
    Сообщений
    7
    Вес репутации
    26
    Не могу все делать бездумно, так что возник вопрос по поводу этих записей
    Заражено параметров реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    Я не пользуюсь стандартным фаерволом винды, точно также как и автоматическим обновлением. а эти ключи случаем не являются настройками именно для вышеперечисленных свойств? В принципе исходя из моих знаний английского notify-это предупреждение и если сбросить эти парамерты в ноль, то о чем винда начнет предупреждать?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от allusik88 Посмотреть сообщение
    В принципе исходя из моих знаний английского notify-это предупреждение и если сбросить эти парамерты в ноль, то о чем винда начнет предупреждать?
    Предупреждать, что у Вас отключен файрволл, антивирус и автоматическое обновление.

  10. #9
    Junior Member Репутация
    Регистрация
    26.01.2010
    Адрес
    donetsk
    Сообщений
    7
    Вес репутации
    26
    Я уже проверила-методом тыка Я виндовыми штуками не пользуюсь, так что пришлось обратно в реестре вернуть все в зад чтоб не маяковало в трее.

  11. #10

  12. #11
    Junior Member Репутация
    Регистрация
    26.01.2010
    Адрес
    donetsk
    Сообщений
    7
    Вес репутации
    26
    Пока что -нет. Но есть такая зловредная привычка не пользовать антивир, так что если чего подцеплю-пожалуй самый полезный сайт-ваш. Пару часов прочтения форума, изголений-а потом наслаждение победой над вирусами Так что благодаю за внимание

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от allusik88 Посмотреть сообщение
    Но есть такая зловредная привычка не пользовать антивир
    Меняйте привычку, установите антивирус, иначе окажетесь нашим постоянным клиентом

  14. #13
    Junior Member Репутация
    Регистрация
    26.01.2010
    Адрес
    donetsk
    Сообщений
    7
    Вес репутации
    26
    за 8 лет, лишь второй раз вас посещаю. так что думаю, что не стану. это пусть юзвери пользую ноды и касперы, а мы с отключенным аутпостом проживем

  • Уважаемый(ая) allusik88, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. win32.backdoor.shiz последствия
      От Mahou в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.05.2011, 19:28
    2. Ответов: 41
      Последнее сообщение: 19.01.2011, 23:30
    3. Ответов: 10
      Последнее сообщение: 06.10.2010, 23:31
    4. Bredavi,QQHost,OnLineGames.rxtz.
      От Windows100 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.12.2009, 16:16
    5. последствия BackDoor.Win32.DsBot.vd
      От genik_polt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.01.2009, 14:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01497 seconds with 20 queries