Здраствуйте уважаемы хацкеры) в общем проблема у моей сестренки такая.. завела себе коня понимаш.. живет далеко пробовал дистанционно выкорчевать не получилось(тимвивер 6).. вот выкидываю логи к вам с AVZ.
Кто чем может поможите..
Здраствуйте уважаемы хацкеры) в общем проблема у моей сестренки такая.. завела себе коня понимаш.. живет далеко пробовал дистанционно выкорчевать не получилось(тимвивер 6).. вот выкидываю логи к вам с AVZ.
Кто чем может поможите..
Уважаемый(ая) [B]execute_108[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Cure It запускал.. они мимо прогоняет експлореры и др. задачи с продолжением "explorer:320" и т.далее.
Звбыл упомянуть у нее стоит антивирус Nod eset smart 4 versii
[quote="execute_108;871711"]Здраствуйте уважаемы хацкеры)[/quote]Если Вы хотели попасть на хакерский форум, то Вы ошиблись
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\apppatch\rjdrytv.exe','');
DeleteFile('C:\WINDOWS\apppatch\rjdrytv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system','');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Обновите базы AVZ
Сделайте новые логи
папку с карантином отослал на анализ, естественно запаковав ее и запаролиф :hunter:)
вопрос такой нод вроде перестал матюкать на счет вируса.. но при проверке Cure It ом (5 дневной давности) всеравно при проверке задач остаются надписи типа "explorer.exe:308 svchost.exe:301 " и так далее .. я знаю что такого не должно быть.. вирус нейтрализован но не убран... что необходимо сделать далее??:russian_ru:
Логи где новые?
счас выложу, уже запустил... вопрос по теме. я после того как отослать логи вам в первый раз удалил папки с логами и карантином.:shocked: не помешает ли это сейчас или придется проделать процедуру повторно НЕ удалаяя папок?
Не помешает. Лог HijackThis не забудьте.
сделал
Заразы больше не видно.
[QUOTE=Bratez;871820]Заразы больше не видно.[/QUOTE]
а как тогда обьясните присутствие дописаных цифар после названия екзешников при проверке Cure It?
"explorer.exe:308 svchost.exe:301 opera.exe:3292" и так далее .. я знаю что такого не должно быть.. вирус нейтрализован но не убран...
это же хвосты.. значит гдето еще что то висит =(
запустил еще раз быструю проверку Cure It, вручную настроил на улучшеное сканирование. как закончит лог сюда кину.
[quote="execute_108;871823"]а как тогда обьясните присутствие дописаных цифар после названия екзешников при проверке Cure It?
"explorer.exe:308 svchost.exe:301 opera.exe:3292" и так далее[/quote]
Это PID'ы, если я правильно понял :P
Порты шоль?:russian_ru:
Др веб
[QUOTE]Процесс в памяти: System:4 - OK
Процесс в памяти: C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe:500 - OK
Процесс в памяти: C:\WINDOWS\system32\ctfmon.exe:572 - OK
Процесс в памяти: C:\WINDOWS\system32\svchost.exe:744 - OK
Процесс в памяти: C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe:788 - OK
Процесс в памяти: C:\Program Files\HP Button Manager\BM.exe:828 - OK
Процесс в памяти: C:\WINDOWS\system32\svchost.exe:840 - OK
Процесс в памяти: \SystemRoot\System32\smss.exe:880 - OK
Процесс в памяти: C:\WINDOWS\SOUNDMAN.EXE:900 - OK
Процесс в памяти: \??\C:\WINDOWS\system32\csrss.exe:928 - OK
Процесс в памяти: \??\C:\WINDOWS\system32\winlogon.exe:956 - OK
Процесс в памяти: C:\WINDOWS\system32\services.exe:1000 - OK
Процесс в памяти: C:\WINDOWS\system32\lsass.exe:1012 - OK
Процесс в памяти: C:\Program Files\ESET\ESET Smart Security\egui.exe:1084 - OK
Процесс в памяти: C:\WINDOWS\system32\nvsvc32.exe:1188 - OK
Процесс в памяти: C:\Program Files\ESET\ESET Smart Security\ekrn.exe:1216 - OK
Процесс в памяти: C:\WINDOWS\system32\svchost.exe:1224 - OK
Процесс в памяти: c:\program files\teamviewer\version6\TeamViewer_Desktop.exe:1236 - OK[/QUOTE]
[U]Вот это я имел в виду. [/U]
[QUOTE=execute_108;871825]Порты шоль?:russian_ru:[/QUOTE]
PID = Process Identifier
[QUOTE=Bratez;871830]PID = Process Identifier[/QUOTE]
полез в гугл переводчик..... =Р
[B] пасиба за помощь народ![/B]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\apppatch\\rjdrytv.exe - [B]Backdoor.Win32.Shiz.bydl[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.Zybut.1, NOD32: Win32/Spy.Shiz.NCF trojan, AVAST4: Win32:MalOb-KC [Cryp] )[/LIST][/LIST]