Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

взломан комп (заявка № 85740)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50

    Thumbs up взломан комп

    Здравствуйте! Комп давно притормаживал, но стоял Каспер с лицензионным ключом, поэтому не было подозрения на вирусы, но, проконсультировавшись со специалистом и попав на Ваш сайт, после проверки триалом Др Вэбом обнуружена и удалена куча вирусов. Теперь система выдает ошибки, безопасный режим вырублен, Вэб не выгружается при скане AVZ-ом. В отчете AVZ-открыт доступ анонимному пользователю, подменен диспетчер задач и еще куча всего(((((

    Да, и базы AVZ не обновляются((((
    Последний раз редактировалось AndreyKa; 22.08.2010 в 23:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Отсюда архив со свежими базами скачайте.

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    Базы обновлены. Новые логи прикрепяляю.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\70.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe','');
     QuarantineFile('E:\Мои документы\Мои рисунки\швейное\отделка\Алфавит фэнтези\FA193\Thumbs.db','');
     QuarantineFile('Netsis.sys','');
     DeleteFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\70.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог Gmer
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    Скрипты выполнены.
    Вот новые логи.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от polword Посмотреть сообщение
    - Сделайте лог Gmer
    - Сделайте лог MBAM
    логи не все....

  8. #7
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    вот)

    а %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs не загружался, поэтому заархивирован %%%
    Последний раз редактировалось AndreyKa; 22.08.2010 в 23:24.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Сохраните текст ниже как 1.bat в ту же папку, где находится 5umw02yz.exe (GMER) и запустите этот батник(1.bat):
    Код:
    5umw02yz.exe -del service tvbsiqrtd
    5umw02yz.exe -del file "C:\WINDOWS\System32\nymqb.dll"
    5umw02yz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tvbsiqrtd"
    5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tvbsiqrtd"
    5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tvbsiqrtd"
    5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tvbsiqrtd"
    5umw02yz.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\tvbsiqrtd"
    5umw02yz.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:

    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe ','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe','');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628');
     DeleteFile('C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe ');
     DeleteFile('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    3. удалите в MBAM, что останется из нижеперечисленного
    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\RECYCLER\S-1-5-21-3382209064-2977920203-010012004-7628\syscr.exe (Worm.Autorun.B) -> No action taken.
    C:\RECYCLER\S-1-5-21-8436892030-9942426271-300082217-8058\syscr.exe (Worm.Autorun.B) -> No action taken.
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте повторный лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    Сделано.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\14.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
      BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    новый лог

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\Good-Luck.ru\Chinese Coin\Chinese Coin.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884\syscr.exe');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-5304017112-7950936686-343912572-8884');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - сделайте лог Combofix

  14. #13
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    Только у меня Др Вэб не выгружается(((( Снимаю галки с автозагрузки, но он все равно грузится((

    лог
    Последний раз редактировалось AndreyKa; 22.08.2010 в 23:25.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от polword Посмотреть сообщение
    - сделайте лог Combofix
    еще такой лог

  16. #15
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    карантин загружен. Вот лог

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\syscache.exe
    
    Driver::
    Netsis
    
    NetSvc::
    
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3280:TCP"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  18. #17
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    сделано.

    Др Вэб кричит об инфицированных рециклерах((
    Последний лог авза.
    Последний раз редактировалось AndreyKa; 22.08.2010 в 23:25.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Выполните в AVZ скрипт из файла ScanVuln.txt.
    Пройдитесь по ссылкам в протоколе AVZ и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

    Закройте все программы кроме браузера с этой странцей. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
    ExecuteWizard('TSW', 2, 2, true);
    QuarantineFile('%System32%\sfc_os.dll','');
    QuarantineFile('%System32%\sfcfiles.dll','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0154442275-5746550318-849443491-0348\syscr.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0154442275-5746550318-849443491-0348\syscr.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Обновите базы AVZ.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  20. #19
    Junior Member Репутация
    Регистрация
    10.08.2010
    Сообщений
    13
    Вес репутации
    50
    Браузеры не загружали страницы-Др Вэб фаервол блокировал их после включения Брандмауера.))
    Последний лог. Только базы AVZа не обновляются(((

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Восстановление системы: включено
    - Отключите системное восстановление!!! как- посмотреть можно тут

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    C:\WINDOWS\system32\77.exe
    
    Driver::
    
    NetSvc::
    tvbsiqrtd
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  • Уважаемый(ая) owl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 04.04.2012, 06:54
    2. Был взломан wm кипер
      От Nacida в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.06.2010, 10:56
    3. Взломан WM Keaper
      От vvvladimir в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.05.2010, 22:38
    4. Взломан QIP.ru
      От Shu_b в разделе Новости интернет-пространства
      Ответов: 44
      Последнее сообщение: 19.05.2009, 22:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01591 seconds with 19 queries