-
Junior Member
- Вес репутации
- 52
Последствия Backdoor.Win32.Bredavi.brp
доброго времени суток. сегодня утром обнаружила, что outpost перестал обновляться, при чем не шел пинг на сайт outpost. проверила таблицу маршрутизации-такого я еще не видала, огромное количество статических маршрутов. почистила, обновила outpost. перегрузила комп и почему-то решила проверить сайты антивирей-не на один опера не зашла, другие сайты открывались нормально. залезла в etc/hosts - модифицированный, все сайты антивирей и помощи по айпишниками присвоены в 0,0,0,0. решила проверить, что такого вчера посещала. настрожил сайтик ginoceidas.net который делал редирект на whitehouse.org/robot.txt-вот тут то я поняла что попала. сканила avz, cureit, outpost-ничего не помогло. спас kaspersky virus removal tool( спасибо, что нашла указание на него у вас на сайте)
итого
26.01.2010 14:52:17 Обнаружено: Backdoor.Win32.Bredavi.brp C:\WINDOWS\system32\oqjKVRF.exe
26.01.2010 14:52:26 Обнаружено: Trojan.Win32.Qhost.mbi C:\WINDOWS\system32\drivers\etc\hosts
и при попытке зайди однажды на сайт ginoceidas.net не послала на whitehouse.org а начала загружать какой-то апплет. после этого в кэше оперы поселился еще и
26.01.2010 15:09:58 Обнаружено: Trojan-Downloader.Java.OpenStream.af C:\Documents and Settings\allusa\Local Settings\Application Data\Opera\Opera\cache\opr0D1XN/myf/y/LoaderX.class
все файлы удалила, но хотелось бы узнать, вдруг остались еще какие-то последствия всего вышеописанного. спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\allusa\LOCALS~1\Temp\kui2E2.tmp
Перезагрузить ПК, сделать новый лог Hijack
-
-
Junior Member
- Вес репутации
- 52
пофиксила....это была еще старая запись от порно-банера )
а насчет нынешней вышеописанной гадости. теперь проверила всю цепочку.
1. сначала ginoceidas.net(если повезет, а точнее не повезет-запускается апплет и устанавливает в system32 4 exe файла с корявыми именами и троянами)
2. модификафия etc/hosts
3. после перезагрузки модификация таблицы маршрутизации-и фиг вы зайдете на сайт антивирусов
4. пока еще не узнала чего еще делает, но может кто попадется и продолжит тему.
лог hijackthis прилагается
-
-
-
Junior Member
- Вес репутации
- 52
-
Удалить в MBAM
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Сделать лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Не могу все делать бездумно, так что возник вопрос по поводу этих записей
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Я не пользуюсь стандартным фаерволом винды, точно также как и автоматическим обновлением. а эти ключи случаем не являются настройками именно для вышеперечисленных свойств? В принципе исходя из моих знаний английского notify-это предупреждение и если сбросить эти парамерты в ноль, то о чем винда начнет предупреждать?
-
Сообщение от
allusik88
В принципе исходя из моих знаний английского notify-это предупреждение и если сбросить эти парамерты в ноль, то о чем винда начнет предупреждать?
Предупреждать, что у Вас отключен файрволл, антивирус и автоматическое обновление.
-
-
Junior Member
- Вес репутации
- 52
Я уже проверила-методом тыка Я виндовыми штуками не пользуюсь, так что пришлось обратно в реестре вернуть все в зад чтоб не маяковало в трее.
-
Ок! Проблем нет?
-
-
Junior Member
- Вес репутации
- 52
Пока что -нет. Но есть такая зловредная привычка не пользовать антивир, так что если чего подцеплю-пожалуй самый полезный сайт-ваш. Пару часов прочтения форума, изголений-а потом наслаждение победой над вирусами Так что благодаю за внимание
-
Сообщение от
allusik88
Но есть такая зловредная привычка не пользовать антивир
Меняйте привычку, установите антивирус, иначе окажетесь нашим постоянным клиентом
-
-
Junior Member
- Вес репутации
- 52
за 8 лет, лишь второй раз вас посещаю. так что думаю, что не стану. это пусть юзвери пользую ноды и касперы, а мы с отключенным аутпостом проживем