Показано с 1 по 12 из 12.

Eset smart security обнаруживает атаки (заявка № 86085)

  1. #1
    Junior Member Репутация
    Регистрация
    11.09.2009
    Сообщений
    20
    Вес репутации
    27

    Thumbs up Eset smart security обнаруживает атаки

    Nod обнаруживает троянские программы 23.08.2010 4:30:11 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\usbser.sys Win32/Bubnix.AU троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле. С определённой периодичностью при загрузке компьютера Нод выдаёт то 29 то 79 файлов. Полная проверка ничего не даёт. В обычном режиме cureit что-то находила. В безопасном сегодня проверял AVPtool
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\thumbs.db','');
     QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
     QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
     QuarantineFile('C:\WINDOWS\system32\faa49b41.exe','');
     QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     QuarantineFile('C:\Documents and Settings\владелец\Application Data\Microsoft\svchost.exe','');
     DeleteFile('C:\Documents and Settings\владелец\Application Data\Microsoft\svchost.exe');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
     DeleteFile('C:\WINDOWS\system32\faa49b41.exe');
     DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
     DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
     DeleteFile('C:\thumbs.db');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  4. #3
    Junior Member Репутация
    Регистрация
    11.09.2009
    Сообщений
    20
    Вес репутации
    27
    Ready
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\sfcfiles.dll','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
     if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
           SaveLog('sfcfiles.log');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
           SaveLog('sfcfiles.log');
           if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
             begin
              if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                 CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 SaveLog('sfcfiles.log');
                end
               else 
                begin
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                 SaveLog('sfcfiles.log');
                end;
             end
            else
             begin
              AddToLog('Файл sfcfiles.dll отсутствует в i386');
              SaveLog('sfcfiles.log');
             end;
          end;
       end
      else
       begin
        AddToLog('Файл sfcfiles.dll отсутствует в кеше');
        SaveLog('sfcfiles.log');
        if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
          begin
           if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
             begin
              CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
              AddToLog('Замена sfcfiles.dll успешно произведена из i386');
              SaveLog('sfcfiles.log');
             end
           else 
            begin
              AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
              SaveLog('sfcfiles.log');
            end;
          end
         else
          begin
           AddToLog('Файл sfcfiles.dll отсутствует в i386');
           SaveLog('sfcfiles.log');
          end;  
       end;
     DeleteFile('%windir%\system32\sfcfiles.bak');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог RSIT
    - файл sfcfiles.log прикрепите к сообщению

  6. #5
    Junior Member Репутация
    Регистрация
    11.09.2009
    Сообщений
    20
    Вес репутации
    27
    Во время выполнения скрипта вылетела ошибка explorer'a. Компьютер перезагрузился.

    Не понял про sfcfiles, но видимо тот что в авз папке..
    Вложения Вложения
    • Тип файла: txt info.txt (37.0 Кб, 0 просмотров)
    • Тип файла: txt log.txt (44.8 Кб, 2 просмотров)
    • Тип файла: log sfcfiles.log (4.8 Кб, 2 просмотров)

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    В логах подозрительного нет.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    На этом можно считать лечение законченным.

  8. #7
    Junior Member Репутация
    Регистрация
    11.09.2009
    Сообщений
    20
    Вес репутации
    27
    Копировать начиная с
    var
    ICounter : Integer; ?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    можете с самого начала, можете с var

  10. #9
    Junior Member Репутация
    Регистрация
    11.09.2009
    Сообщений
    20
    Вес репутации
    27
    Одна была, с флэш плеером

    Если не трудно в двух словах описать, что за бяка сидела?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    новый зловред - Backdoor.Win32.Shiz.ue

  12. #11
    Junior Member Репутация
    Регистрация
    11.09.2009
    Сообщений
    20
    Вес репутации
    27
    Спасибо огромнейшее! =)

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\faa49b41.exe - Backdoor.Win32.Shiz.ue ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.439068, AVAST4: Win32:MalOb-DS [Cryp] )


  • Уважаемый(ая) AsH_SPb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ESET Smart Security 5
      От Hesh_ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.06.2012, 15:14
    2. Не работает Eset Smart Security 4.
      От heelbucket в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.09.2010, 01:45
    3. Ответов: 1
      Последнее сообщение: 24.03.2010, 19:09
    4. Проблема с ESET Smart Security
      От SleepTight в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.01.2009, 20:01
    5. eset smart security 3.0.621
      От gulin176 в разделе Межсетевые экраны (firewall)
      Ответов: 0
      Последнее сообщение: 26.02.2008, 13:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00634 seconds with 21 queries