-
Junior Member
- Вес репутации
- 50
взломан комп
Здравствуйте! Комп давно притормаживал, но стоял Каспер с лицензионным ключом, поэтому не было подозрения на вирусы, но, проконсультировавшись со специалистом и попав на Ваш сайт, после проверки триалом Др Вэбом обнуружена и удалена куча вирусов. Теперь система выдает ошибки, безопасный режим вырублен, Вэб не выгружается при скане AVZ-ом. В отчете AVZ-открыт доступ анонимному пользователю, подменен диспетчер задач и еще куча всего(((((
Да, и базы AVZ не обновляются((((
Последний раз редактировалось AndreyKa; 22.08.2010 в 23:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отсюда архив со свежими базами скачайте.
-
-
Junior Member
- Вес репутации
- 50
Базы обновлены. Новые логи прикрепяляю.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\70.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe','');
QuarantineFile('E:\Мои документы\Мои рисунки\швейное\отделка\Алфавит фэнтези\FA193\Thumbs.db','');
QuarantineFile('Netsis.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог Gmer
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Скрипты выполнены.
Вот новые логи.
-
Сообщение от
polword
логи не все....
-
-
Junior Member
- Вес репутации
- 50
вот)
а %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs не загружался, поэтому заархивирован %%%
Последний раз редактировалось AndreyKa; 22.08.2010 в 23:24.
-
1. Сохраните текст ниже как 1.bat в ту же папку, где находится 5umw02yz.exe (GMER) и запустите этот батник(1.bat):
Код:
5umw02yz.exe -del service tvbsiqrtd
5umw02yz.exe -del file "C:\WINDOWS\System32\nymqb.dll"
5umw02yz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tvbsiqrtd"
5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tvbsiqrtd"
5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tvbsiqrtd"
5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tvbsiqrtd"
5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\tvbsiqrtd"
5umw02yz.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe ','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe','');
DeleteFileMask('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628');
DeleteFile('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe ');
DeleteFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
3. удалите в MBAM, что останется из нижеперечисленного
Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe (Worm.Autorun.B) -> No action taken.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 50
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\14.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Good-Luck.ru\Chinese Coin\Chinese Coin.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884\syscr.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- сделайте лог Combofix
-
-
Junior Member
- Вес репутации
- 50
Только у меня Др Вэб не выгружается(((( Снимаю галки с автозагрузки, но он все равно грузится((
лог
Последний раз редактировалось AndreyKa; 22.08.2010 в 23:25.
-
Сообщение от
polword
еще такой лог
-
-
Junior Member
- Вес репутации
- 50
карантин загружен. Вот лог
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\syscache.exe
Driver::
Netsis
NetSvc::
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3280:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
сделано.
Др Вэб кричит об инфицированных рециклерах((
Последний лог авза.
Последний раз редактировалось AndreyKa; 22.08.2010 в 23:25.
-
Выполните в AVZ скрипт из файла ScanVuln.txt.
Пройдитесь по ссылкам в протоколе AVZ и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Закройте все программы кроме браузера с этой странцей. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('%System32%\sfc_os.dll','');
QuarantineFile('%System32%\sfcfiles.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0154442275-5746550318-849443491-0348\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0154442275-5746550318-849443491-0348\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 50
Браузеры не загружали страницы-Др Вэб фаервол блокировал их после включения Брандмауера.))
Последний лог. Только базы AVZа не обновляются(((
-
Восстановление системы: включено
- Отключите системное восстановление!!! как- посмотреть можно тут
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
C:\WINDOWS\system32\77.exe
Driver::
NetSvc::
tvbsiqrtd
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-