В общем был факт кражи пароля, с кражей безналичных.
Скорее всего может быть из-за вредоносных программ.
Добрые люди посмотрите пожалуйста.
p.s кража была через Я.Д (Веб форму)
В общем был факт кражи пароля, с кражей безналичных.
Скорее всего может быть из-за вредоносных программ.
Добрые люди посмотрите пожалуйста.
p.s кража была через Я.Д (Веб форму)
Последний раз редактировалось Cheba; 22.03.2010 в 12:19.
Карантин удалите из темы, а лог virusinfo_syscheck.zip прикрепите
+ к shapel
- обновите базы AVZ и переделайте логи virusinfo_syscheck.zip; virusinfo_syscure.zip
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\FWH38.tmp',''); DeleteService('GarenaPEngine'); DelBHO('{C55BBCD6-41AD-48AD-9953-3609C48EACC7}'); DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}'); DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}'); DelBHO('{32099AAC-C132-4136-9E9A-4E364A424E17}'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); DelBHO('{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}'); DelBHO('{18DF081C-E8AD-4283-A596-FA578C2EBDC3}'); DelBHO('{000123B4-9B42-4900-B3F7-F4B073EFC214}'); QuarantineFile('C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe',''); QuarantineFile('c:\program files\webmoney agent\wmagent.exe',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\FWH38.tmp'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Выполнил.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe',''); BC_ImportAll; ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Сделал.
Файл сохранён как 100322_122901_quarantine_4ba7385de9b4a.zip
Размер файла 921004
MD5 4f9df195c0ff43ac9d5eb358b3a91503
Что-то не так?
- Выполните скрипт в AVZ
После перезагрузки:Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RebootWindows(true); end.
- Сделайте логи virusinfo_syscheck.zip;
файл C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe - это инстал чего?
Готово
C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe - в ручную удалил. Не знаю что за файл.
В логе чисто, что с проблемой?Проверка несколькими антивирусами: KIS 2009=Файл чистый; DrWEB 5.0=Файл чистый; VBA32=Зловред Trojan-Downloader.Win32.Delf.txh; BitDefender=Файл чистый; NOD32=Зловред Win32/TrojanDownloader.Delf.OUP trojan; Avast4=Файл чистый (на 22.03.2010 12:33:17)
Спасибо все помогло только вот щас от смеха лопну. Походу новый поймал.
Каспер совсем облинился =(
Вот что я сейчас имею
Ясно. спасибо...
Выполните скриптзакачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syspck32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\xysip.SYS',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syspck32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Файл сохранён как 100404_165716_2010-04-04_4bb88cac969da.zip
Размер файла 22744
MD5 3da98bdf034afbb44ebb3e3bef49b618
Выполнил
Последний раз редактировалось AndreyKa; 06.04.2010 в 18:25.
Пофиксте в HijackThis строку:
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.F2 - REG:system.ini: O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Очистите карантин. Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\главное меню\программы\автозагрузка\syspck32.exe - Trojan.Win32.Inject.aojx ( DrWEB: Trojan.Botnetlog.126, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Cheba, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.