-
Junior Member
- Вес репутации
- 50
Проблема с компьютером (Сушко)
В один злополучный день не пустило в почтовый ящик на mail.ru.
Пароль вводили правильно. С другого компьютеро вошли без проблем.
Решил проверить на вирусы... Родным антивирусом с базами от 24.09.2010 ничего не нашло. Решил проверить курейтом. Оказалось меня не пускает ни на один сайт, посвященный безопасности компьютера Добрался с другого, не зараженного компьютера до вашего форума, скачал офлайн версию правил.
Попытался обновить базы на АВЗ с компьютера, который подозревается в заражении, но не смог соединиться сервером обновления (ошибку выкладываю в скрине). В общем, подготовил весь набор програм на чистом компьютере и в итоге при сканировании курейтом на зараженном компьютере нашло 3 трояна в папке Temporary Internet Files с расширением htm.
Затем, сделал логи, как указано в правилах. Интересно узнать, есть ли что-нибудь подозрительное.
Последний раз редактировалось Step_BY; 28.09.2010 в 16:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Код:
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.32
На данный момент актуальная сборка АВЗ 4.35. Пожалуйста, скачайте новую сборку АВЗ, обновите абзы и переделайте логи.
-
-
Junior Member
- Вес репутации
- 50
ARMA9000, Странно, я обновлял базы с другого компьютера а потом перенес всю папку на зараженный. Сечас буду переделывать...
-
Junior Member
- Вес репутации
- 50
Прошу прощения, сверил обновлённую базу с той что на зараженном компьютере и, действительно, та оказалась старой. Дело в том, что провожу проверку сразу на нескольких компьютерах. Наверное просто забыл переписать базу с флешки после неудачного обновления. Теперь выкладываю новые логи.
Как я делал диагностику: Восстановление системы всегда отключено. Я им не пользуюсь. Выгрузил антивирус (для этого пришлось со второго сервера-антивируса разрешить такую возможность для клиентов), отключил сеть и интернет. Выполнил 3 стандартный скрипт. Перегрузился. 2 стандартный скрипт уже делал с включенным антивирусом и интернетом (если я правильно понял правила, то это нужно было делать так). Снова перегрузился. Сделал лог хайджекзис...
ЗЫ Решил проверить компьютер, с которого отправляю логи курейтом в безопасном. Он ругнулся на файл hosts и предложил восстановить его стандартные значения - я согласился. Вот, что было в "нестандартном":
127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com
Это нормально?
Последний раз редактировалось Step_BY; 19.05.2011 в 13:00.
-
Сдается мне, что вы и логи перепутали. В старом логе у вас IE7 в новом 8(если, конечно, вы не установили). Да, и если вы ничего не делали, то сами вирусы вряд ли бы испарились.
127.0.0.1 mpa.one.microsoft.com
Это от кряка.
-
-
Junior Member
- Вес репутации
- 50
Прошу прощения за невнимательность.
Довели меня вирусняки до
Последний раз редактировалось Step_BY; 19.05.2011 в 13:00.
-
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('c:\windows\system32\rserver30\r3in.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\kVWF7my.exe','');
QuarantineFile('C:\WINDOWS\system32\ea5f4250.exe','');
DeleteFile('C:\WINDOWS\system32\ea5f4250.exe');
DeleteFile('\\?\globalroot\systemroot\system32\kVWF7my.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Восстановление системы отключено всегда. Антивирус отключил, выполнил скрипт. Перезагрузился, запаковал карантин с паролем virus. Выполнил стандартный 3 скрипт по правилам. Снова перегрузился. Загрузил антивирус. Открыл в IE virusinfo.info (открылся ). Запустил 2 стандартный скрипт, после выполнения IE вывалился с ошибкой. Перегрузился - выполнил сканировование хаджек.
Вот логи.
Последний раз редактировалось Step_BY; 19.05.2011 в 13:00.
-
Junior Member
- Вес репутации
- 50
Карантин:
Файл сохранён как 100925_122420_virus_4c9db1b446469.zip
Размер файла 1581
MD5 dadea493efc0ed40a3d2f2294787a6c8
-
Установите IE8(даже если не используете его).
c:\windows\system32\rserver30\r3in.dll - этот файл вам знаком?
Больше плохого не вижу.
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
ARMA9000
Установите IE8(даже если не используете его).
c:\windows\system32\rserver30\r3in.dll - этот файл вам знаком?
Больше плохого не вижу.
Ставил когда-то RAdmin, возможно его библиотека. Но так как перешел на стандартный виндовый удаленный рабочий стол - снесу его
Спасибо.
Добавлено через 1 час 15 минут
Ограничил основную рабочую учётку пользователю. Обновил ИЕ. Снес Радмин. Всё работает. Тему можно закрывать. Ещё раз огромное спасибо.
ЗЫ. Осталось 4 проблемных компа.
Последний раз редактировалось Step_BY; 25.09.2010 в 13:51.
Причина: Добавлено
-
Сообщение от
Step_BY
Осталось 4 проблемных компа.
Каждому - отдельная тема.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-