-
Там, проверил, стало быть установленная обновлена по максимуму. А на новую боюсь компания фиг денег даст, но буду узнавать
Тогда жду помощи дальнейшей по истреблению червяка) в ответ обязательно отблагодарю)
-
Пока результатов обработки карантина нет. Ждем-с
-
Подавляющее большинство файлов в карантине оказались мусором
Рекомендую начать смену паролей, используемых в сети. Вполне возможно, что они стали известны злоумышленникам
-
Это я понимаю, вы думаете что и компы локальной сети не подключенные к интернету тоже могут быть заражены?
Какие мои дальнейшие действия помимо этого? Ведь червь то по-прежнему сидит
-
Подскажите чего делать то?)
-
...
[quote="thyrex;1016847"]Рекомендую начать смену паролей,[/quote]
-
это сделано, все сменил, а дальше?
-
есть хоть какие-то новости? или глухо совсем??
-
Сделайте свежий лог MBAM
- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
отпишите, какие сейчас проблемы.
-
После выполнения скрипта пишет что часто используемые уязвимости не обнаружены. В логе МВАМ тоже только что к эксплореру привязалась ссылка
Выложить больше файлы не могу, так что выкладываю текстово
15.07.2013 11:53:13
mbam-log-2013-07-15 (11-53-13).txt
Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 420335
Времени прошло: 1 часов , 46 минут , 17 секунд
Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)
Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)
Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)
Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)
Объекты реестра обнаружены: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: ([url]http://www.2345.com/?k1112958[/url]) Хорошо: ([url]http://www.google.com[/url]) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: ([url]http://www.2345.com/?k1112958[/url]) Хорошо: ([url]http://www.google.com[/url]) -> Помещено в карантин и успешно исправлено.
Обнаруженные папки: 0
(Вредоносных программ не обнаружено)
Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)
(конец)
Единственное. что в папках windows\debug и по прежнему висит ПО prassi и при перезагрузке выскакивает сообщение, что ошибки при загрузке нескольких системных процессов [B]qibin.vbe[/B] и [B]ma.vbe [/B] - кто нить знает что это за файлы?
-
Сделайте логи новой версией AVZ (ссылка та же) и RSIT новый сделайте.
-
Сделал, поскольку лимит прикрепления файлов исчерпан, то вот ссылка на rghost
[url]http://rghost.ru/47431901[/url]
-
[quote="tchuiman;1018482"]поскольку лимит прикрепления файлов исчерпан[/quote]Очистите через Мой кабинет-Вложения
-
Вложений: 3
-
Нового в системных папках не появилось, что хороший признак. Осталось три трояна и следы жизнедеятельности взломщиков, которые удалим таким скриптом:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{452ADB5B-00BE-469D-A65F-3046146B2ED5}');
TerminateProcessByName('c:\windows\pipi\opk.exe');
DeleteFile('c:\windows\pipi\opk.exe','32');
DeleteFile('C:\WINDOWS\system32\gzQGXLi.exe');
DeleteFile('C:\WINDOWS\system32\mCOoJty.exe');
DeleteFile('C:\WINDOWS\system32\QBJDwsO.exe');
DeleteFile('C:\WINDOWS\system32\OmcDpav.exe');
DeleteFile('C:\WINDOWS\system32\cs.exe');
DeleteFile('C:\WINDOWS\system32\KAVSETUPS_66_29746.exe');
DeleteFile('C:\WINDOWS\system32\KAVSETUPS_66_30098.exe');
DeleteFile('C:\WINDOWS\system32\DUMP.COM');
DeleteFile('C:\WINDOWS\system32\c.exe');
DeleteFile('C:\WINDOWS\system32\gouri.bat');
DeleteFile('C:\WINDOWS\system32\sb.dat');
DeleteFile('C:\WINDOWS\system32\nanrenms.js');
DeleteFile('C:\WINDOWS\system32\nanren.txt');
DeleteFile('C:\WINDOWS\system32\DUMP.TMP');
DeleteFile('C:\WINDOWS\system32\SET3047.tmp');
DeleteFile('C:\WINDOWS\system32\SET3045.tmp');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\ojoxm.cc3','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\xnobm.cc3','32');
DeleteFile('C:\Program Files\2345xiufudashi\QTmain.exe','32');
DeleteFile('C:\Program Files\Wuji\2013627\WJNews.exe','32');
DeleteFile('C:\Program Files\kuping4\kuping_v4.exe','32');
DeleteFile('C:\WINDOWS\Debug\wpdmtp.exe','32');
DeleteFile('C:\WINDOWS\Thunder\lsess.exe','32');
DeleteFile('C:\WINDOWS\srchasst\wmpserv.dll','32');
DeleteDirectory('C:\WINDOWS\system32\i5736');
DeleteFileMask('C:\WINDOWS\Thunder','*',true);
DeleteDirectory('C:\WINDOWS\Thunder');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\pipi\Opk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
-
Вложений: 1
Готово
После перезагрузки снова цепанулась стартовая 2345.com и снова выдало сообщение дисп. службы о сбое в запуске файлов qibin.vbe, ma.vbe
-
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
-
Вложений: 1
-
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
delref %SystemRoot%\THUNDER\LSESS.EXE
delref %SystemRoot%\MSAPPS\MSINFO\MSSYCHX.EXE
delref %Sys32%\SENDMINIAPP.EXE
delref HTTP://WWW.2345.COM/?K1112958
delref %SystemRoot%\PIPI\OPK.EXE
delall %SystemRoot%\DEBUG\BROWSER\SPRESRT.EXE
delref %SystemRoot%\RESOURCES\SMSCVCY.EXE
delref %SystemRoot%\SRCHASST\WMPSERV.DLL
delref %Sys32%\SETUP
delref %SystemDrive%\PROGRAM FILES\LIEBAO\LBBROWSER\LIEBAO.EXE
delref %SystemDrive%\PROGRAM FILES\搜狐影音\SOHUAUTODETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES\搜狐影音\SHRES.EXE
delref %SystemDrive%\PROGRAM FILES\°ЧНГKTV\X179PLUGIN.DLL
restart[/code]Компьютер перезагрузится.
Проверьте, что с проблемами.
-
все тоже самое, после перезагрузки как будто откатывается назад
Page generated in 0.00042 seconds with 10 queries