Здраствуйте проблема в следующем: В папке User/* создаються exe файлы размером 10.3мб с названием wrt(цифры),install.res(цифры),Backup_rev,redist.При подключении флешки все exe файлы меняються в размере до 3.4мб.
Printable View
Здраствуйте проблема в следующем: В папке User/* создаються exe файлы размером 10.3мб с названием wrt(цифры),install.res(цифры),Backup_rev,redist.При подключении флешки все exe файлы меняються в размере до 3.4мб.
Уважаемый(ая) [B]Craz[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\manifeststore\svchost.exe');
QuarantineFile('C:\Windows\System32\manifeststore\svchost.exe','');
DeleteFile('C:\Windows\System32\manifeststore\svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Print service');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
карантин отправил и вот полный образ автозапуска uVS
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url][code];uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
offsgnsave
zoo %Sys32%\MANIFESTSTORE\WMDC.EXE
; C:\WINDOWS\SYSTEM32\MANIFESTSTORE\WMDC.EXE
addsgn 1A9E749A55837A8FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 16 Trojan.Win32.Agentb.fpr [Kaspersky]
zoo %SystemRoot%\UNINST.EXE
delall %SystemRoot%\UNINST.EXE
zoo D:\DOWNL\L2C04RUX.EXE
delall D:\DOWNL\L2C04RUX.EXE
chklst
delvir
deltmp
restart[/code]Компьютер перезагрузится.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните скрипт в uVS[code];uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
offsgnsave
adddir %Sys32%\MANIFESTSTORE
crimg
chklst
delvir
deltmp[/code]
Будет создан новый полный образ автозапуска, прикрепите его к своему следующему сообщению.
отправил
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Большая просьба помогающим не удалять тему,я ухожу в отпуск до вторника,дальнейшие действия смогу произвести только через неделю.С Пасхой Вас.
Сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url]
Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
запрашиваемые логи
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM:[/url][code]D:\Soft\Unlocker 1.8.9\unlocker1.8.9.exe (Bundled.Clicker.NSIS) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0032040.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033058.exe (Trojan.Spambot) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033540.exe (Trojan.Agent) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033622.exe (Trojan.KillAV) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033664.exe (Trojan.Spambot) -> Действие не было предпринято.
D:\System Volume Information\_restore{DCEC9150-1D94-42AD-BAAD-5A273ADE4D08}\RP16\A0033665.exe (Trojan.Spambot) -> Действие не было предпринято.[/code]
Удалите MBAM через панель управления, крайне не рекомендуется использовать его в качестве полноценного антивируса, тем более при наличии в системе ещё одного, тем более крякнутый...
Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.
Что с проблемой?
все выполнил уязвимостей AVZ необнаружил,но файлы всеравно еще создаються.Могу предоставить удаленый доступ тимвьювером или амми.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url].
Лог
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ProgramData:mate','');
QuarantineFileF('C:\Qoobox\Quarantine', '*.*', True,'', 0, 0, '', '', '');
DeleteFile('C:\ProgramData:mate');
ExecuteFile('c:\users\Serg\Downloads\ComboFix.exe', '/uninstall', 0, 25000, false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
отправленно
Да, конкретно взламывают...
[URL="http://virusinfo.info/showthread.php?t=122524"]Сделайте лог MiniToolBox[/URL] [U]при подключённом интернете[/U].
[NOTICE][URL="http://windows.microsoft.com/ru-ru/windows-vista/living-with-and-benefiting-from-user-account-control-from-windows-vista-inside-out"]Включите UAC[/URL].[/NOTICE]
Включите брандмауэрWindows (если отключен).
Смените (либо установите) пароль администратора.
Общий доступ к папке c:\users\Public включен? Если да - отключите. Есть другие компьютеры в сети?
Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Acrobat/Reader и Adobe Flash Player.
уязвимостей ненайдено,доступ к паблик был закрыт, компьютер находиться в локальной сети - в ней присутсвуют 2 компьютера с такой же проблемой,но они целый день выключены.
192.168.1.1 - это что, сервер, роутер?
Кстати, не мешает сделать проверку системного раздела обычным системным чекдиском, там, похоже, проблемы есть.
Что с основной проблемой?
да стоит роутер,чекдиски зделаю,саднрой на беды тож пройдусь.Пока не ввижу чтобы файлы создавались перезагружусь пару раз
На роутере перенаправление портов каких-нибудь на этот компьютер настроено?
Насколько мне известно то нет,роутер напрямую подключен в стойку к провайдеру