Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

взломан комп (заявка № 85740)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24

    Thumbs up взломан комп

    Здравствуйте! Комп давно притормаживал, но стоял Каспер с лицензионным ключом, поэтому не было подозрения на вирусы, но, проконсультировавшись со специалистом и попав на Ваш сайт, после проверки триалом Др Вэбом обнуружена и удалена куча вирусов. Теперь система выдает ошибки, безопасный режим вырублен, Вэб не выгружается при скане AVZ-ом. В отчете AVZ-открыт доступ анонимному пользователю, подменен диспетчер задач и еще куча всего(((((

    Да, и базы AVZ не обновляются((((
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 22.08.2010 в 23:24.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Отсюда архив со свежими базами скачайте.

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    Базы обновлены. Новые логи прикрепяляю.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\70.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe','');
     QuarantineFile('E:\Мои документы\Мои рисунки\швейное\отделка\Алфавит фэнтези\FA193\Thumbs.db','');
     QuarantineFile('Netsis.sys','');
     DeleteFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\70.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог Gmer
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    Скрипты выполнены.
    Вот новые логи.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от polword Посмотреть сообщение
    - Сделайте лог Gmer
    - Сделайте лог MBAM
    логи не все....

  8. #7
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    вот)

    а %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs не загружался, поэтому заархивирован %%%
    Вложения Вложения
    • Тип файла: log gmer.log (40.6 Кб, 5 просмотров)
    • Тип файла: rar Logs.rar (1.0 Кб, 3 просмотров)
    Последний раз редактировалось AndreyKa; 22.08.2010 в 23:24.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1. Сохраните текст ниже как 1.bat в ту же папку, где находится 5umw02yz.exe (GMER) и запустите этот батник(1.bat):
    Код:
    5umw02yz.exe -del service tvbsiqrtd
    5umw02yz.exe -del file "C:\WINDOWS\System32\nymqb.dll"
    5umw02yz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tvbsiqrtd"
    5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tvbsiqrtd"
    5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tvbsiqrtd"
    5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tvbsiqrtd"
    5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\tvbsiqrtd"
    5umw02yz.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:

    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe ','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe','');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628');
     DeleteFile('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe ');
     DeleteFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    3. удалите в MBAM, что останется из нижеперечисленного
    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe (Worm.Autorun.B) -> No action taken.
    C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe (Worm.Autorun.B) -> No action taken.
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте повторный лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    Сделано.
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\14.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
      BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    новый лог
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\Good-Luck.ru\Chinese Coin\Chinese Coin.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884\syscr.exe');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - сделайте лог Combofix

  14. #13
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    Только у меня Др Вэб не выгружается(((( Снимаю галки с автозагрузки, но он все равно грузится((

    лог
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 22.08.2010 в 23:25.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от polword Посмотреть сообщение
    - сделайте лог Combofix
    еще такой лог

  16. #15
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    карантин загружен. Вот лог
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\syscache.exe
    
    Driver::
    Netsis
    
    NetSvc::
    
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3280:TCP"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  18. #17
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    сделано.

    Др Вэб кричит об инфицированных рециклерах((
    Последний лог авза.
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 22.08.2010 в 23:25.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Выполните в AVZ скрипт из файла ScanVuln.txt.
    Пройдитесь по ссылкам в протоколе AVZ и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

    Закройте все программы кроме браузера с этой странцей. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
    ExecuteWizard('TSW', 2, 2, true);
    QuarantineFile('%System32%\sfc_os.dll','');
    QuarantineFile('%System32%\sfcfiles.dll','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0154442275-5746550318-849443491-0348\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0154442275-5746550318-849443491-0348\syscr.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Обновите базы AVZ.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  20. #19
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    24
    Браузеры не загружали страницы-Др Вэб фаервол блокировал их после включения Брандмауера.))
    Последний лог. Только базы AVZа не обновляются(((
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Восстановление системы: включено
    - Отключите системное восстановление!!! как- посмотреть можно тут

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    C:\WINDOWS\system32\77.exe
    
    Driver::
    
    NetSvc::
    tvbsiqrtd
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  • Уважаемый(ая) owl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 04.04.2012, 06:54
    2. Был взломан wm кипер
      От Nacida в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.06.2010, 10:56
    3. Взломан WM Keaper
      От vvvladimir в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.05.2010, 22:38
    4. iPhone 3GS взломан
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 06.07.2009, 13:21
    5. Взломан QIP.ru
      От Shu_b в разделе Новости интернет-пространства
      Ответов: 44
      Последнее сообщение: 19.05.2009, 22:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00607 seconds with 22 queries