-
Junior Member
- Вес репутации
- 51
Был взломан wm кипер
Здравствуйте!
На моем компьютере был взломан wm кипер, все деньги с него были выведены. Впрочем 66 центов "добрый хакер" мне все же оставил... Прошу помощи в поиске той гадости, которая пробралась на компьютер и позволила сделать такой "финт". Проверку компьютера провела по Правилам, было найдено несколько троянов - все удалено. Логи прилагаются, отвечу на все дополнительные вопросы, которые возникнут по ходу дела.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: Alexa - {EA582743-9076-4178-9AA6-7393FDF4D5CE} - C:\Program Files\Alexa Toolbar\AlxTB2.9.0.0.30.dll (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\Aston\aston.exe ,svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ab900om4.SYS','');
QuarantineFile('C:\WINDOWS\Temp\964a9hN3.sys','');
QuarantineFile('C:\Documents and Settings\Natalia\Application Data\netprotocol.exe','');
DeleteService('Netprotocol');
DeleteFile('C:\Documents and Settings\Natalia\Application Data\netprotocol.exe');
DeleteFile('C:\WINDOWS\Temp\964a9hN3.sys');
QuarantineFile('C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe','');
QuarantineFile('C:\downloaded\clcl112_rus\CLCL.EXE','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
-
Сообщение от
Nacida
Прошу помощи в поиске той гадости, которая пробралась на компьютер и позволила сделать такой "финт".
Эта гадость самоудалилась или была вами удалена ранее. Но пути проникновения остались открытые:
- Adobe Acrobat Reader 7.0
- Java 1.6.0_07
ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128
Вы настроили?
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
AndreyKa
Эта гадость самоудалилась или была вами удалена ранее. Но пути проникновения остались открытые:
- Adobe Acrobat Reader 7.0
- Java 1.6.0_07
Что мне делать? Удалить эти программы?
Сообщение от
AndreyKa
ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128
Вы настроили?
Честно говоря, я вообще не понимаю, что это. Я такого никогда нигде не настраивала.
-
Самое лучшее это переустановить систему, потому что она уже скомпрометирована и если вы соответственно собираетесь опять с ней заниматься электронными платежами. Подчеркиваю - электронными платежами.
http://club-symantec.ru/forum.php
-
-
Причём переустановить с нуля. С форматированием раздела.
-
-
Junior Member
- Вес репутации
- 51
Платежи будут, но поможет ли переустановка системы решить все проблемы? Опять же, можно ли ставить после переустановки Acrobat Reader?
-
Переустановка все проблемы не решит. Потому что слабым звеном, обычно, является человек. И как не печально, ни один антивирус не даст 100% защиты.
http://virusinfo.info/showthread.php?t=77464
-
-
Junior Member
- Вес репутации
- 51
Использование интернета вообще похоже на вечную борьбу осторожности с хитростью: одни все время пытаются найти какие-то уязвимости, чтобы использовать их в своих целях, другие - защитить себя и свой компьютер. За почти 8 лет использования интернета это первая проблема с вирусами, которая у меня возникла, но 100% защиты не бывает, верно, вот и ко мне проскочила зараза... Все, что можно сделать - свести риск к минимуму, те программы все же удалила, еще почитаю советы с форума, может что-то полезное почерпну для себя. ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128 - где это прописано никто не подскажет? В этой области я довольно плохо ориентируюсь, даже не представляю, где искать и как устранить.
-
Панель управления - Свойства обозревателя - вкладка Подключения - кнопка Настройка сети. Это для IE. Для других браузеров свои настройки.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения вредоносные программы в карантинах не обнаружены
-