В оперативной памяти троян [B]Win32[/B]/[B]Spy[/B]/[B]SpyEye[/B].[B]CA в winlogone.
Нод определяет при каждой загрузке винды. Утилитами ничего не лечится (Веб + АВЗ).
Проверьте пож..
[/B]
Printable View
В оперативной памяти троян [B]Win32[/B]/[B]Spy[/B]/[B]SpyEye[/B].[B]CA в winlogone.
Нод определяет при каждой загрузке винды. Утилитами ничего не лечится (Веб + АВЗ).
Проверьте пож..
[/B]
Уважаемый(ая) [B]ea-com[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DelBHO('{055FD26D-3A88-4e15-963D-DC8493744B1D}');
DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
Адрес [url]http://81.195.250.206[/url] в доверенные IE вы сами прописали ?
Если нет, [url=http://virusinfo.info/showthread.php?t=4491]профиксите[/url] в HijackThis
[CODE]O15 - Trusted IP range: http://81.195.250.206[/CODE]
а также вам знакомы все эти DNS ?
85.255.116.150 85.255.112.148, 83.220.35.98,83.220.43.42
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
Все IP включая DNS прописаны мной. Пока к сожалению нет возможности машину отключить, ибо офис удалённый. Заменил руками winlogon.exe и oleaut32.dll - проблемные файлы. Пока тишина.
Тему прошу не закрывать!
[quote="ea-com;877759"]Все IP включая DNS прописаны мной[/quote]Даже эти? :)
[quote="regist;877748"]85.255.116.150 85.255.112.148[/quote]Это троянские DNS
Спасибо. Не заметил. Не мои DNS-ы.
+ к скрипту [url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis
[CODE]O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148[/CODE]
повторите логи, что с проблемой ?
Рассказываю.
Бухгалтер (!!!) сама скачала и установила демо-версию Dr.WEB 7.0, который отловил и удалил троя. Инфы в логах не нашёл, но говорят файл 35377789.exe (привожу цифры "от балды"). Проблемы не наблюдается пока. Фиксил
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
но уже после "лечения".
Полёт нормальный.
Самое интересное, что cureIT из безопасного режима ничего не нашёл (хотя вирь может и не активен в безопасном).
Вот пока так.
Спасибо всем за участие и помощь.
рекомендации из [URL="http://virusinfo.info/showthread.php?t=118166&p=877748&viewfull=1#post877748"]поста №3 [/URL] рекомендую всё равно выполнить, чтобы быть уверенными, что реестре всё тоже нормально зачистилось (да и название вируса в логах совсем другое ;)) возможно то что удалил веб не было единственным зловредом и система ещё недолечена.
+ не забудьте поменять все пароли !
[b]regist[/b], карантин приложил, ожидаю вашего вердикта. Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]