Помогите, с атакой!!!!!

Printable View

29.06.2010, 12:30
Natusya

Помогите, с атакой!!!!!

Здравствуйте всем!
Люди помогите уже 2 компа ставила и пере устанавливала:(, выполняла скрипты ([url]http://virusinfo.info/showthread.php?t=54026[/url]), ничего не помогло. В сети 120 компов, у всех переодически вылезает то червь то троян, а на самом компе, который нэт раздаёт заражено куча всего, вот скрин с Диспетчера Задач.
29.06.2010, 12:38
DefesT

Доброго времени суток
Сделайте логи по [URL="http://virusinfo.info/pravila.htm"]правилам[/URL], сделаем анализ ;)
p.s. чужие скрипты выполнять не следует!!!
29.06.2010, 13:20
Natusya

Вот лог из Nod32
29.06.2010, 13:56
Alex_Goodwin

по ссылке Net-Worm.Win32.Kolab.jhr
29.06.2010, 14:15
Natusya

ребят извините не поняла, что значит по ссылке Net-Worm.Win32.Kolab.jhr???
29.06.2010, 14:18
Alex_Goodwin

Выполните правила [url]http://virusinfo.info/pravila.htm[/url]
29.06.2010, 14:22
Natusya

перехожу по ссылке пишет вот что:
404 Not Found

The page you have requested does not exist. It might have been deleted, moved, or renamed. If you used a hyperlink on some external site, please notify its administration about the issue.

Запрашиваемая вами страница не существует. Она могла быть удалена, перемещена или переименована. Если вы использовали ссылку на другом сайте, уведомите его администрацию о неработающей ссылке.
29.06.2010, 14:24
DefesT

[url]http://virusinfo.info/showthread.php?t=1235[/url]
29.06.2010, 14:37
Natusya

вот этот архив про который говорите
29.06.2010, 14:39
Natusya

знаете пока выполняла этот стандартный скрипт, у меня Nod перестал выдавать атаку, как я на скрину вверху прикрепляла, знаете такой кайф, даж перезагружаться неохота!!!!!!!!!!!!11
29.06.2010, 14:43
Alex_Goodwin

Вы приложили карантин. А надо логи. Карантин загружаем по красной ссылке вверху темы.
29.06.2010, 14:47
Natusya

вот этот?
29.06.2010, 14:54
Natusya

извините все поняла, вот это то что вам нужно для работы:>
29.06.2010, 14:54
DefesT

Давайте сделаем так.
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\11.scr','');
QuarantineFile('C:\WINDOWS\system32\Zsnkstm.exe','');
QuarantineFile('C:\WINDOWS\system32\D5FPBEO94R\B7879.exe','');
QuarantineFile('C:\WINDOWS\system32\1TRWTNGR\E001.exe','');
QuarantineFile('C:\WINDOWS\system32\SDSRP0KC\J001.exe','');
QuarantineFile('C:\WINDOWS\cl200961.exe','');
QuarantineFile('C:\WINDOWS\system32\mmhcbar.exe','');
QuarantineFile('C:\WINDOWS\system32\mnlqycm.exe','');
QuarantineFile('c:\windows\system32\scmasvstart.dll','');
DeleteService('cl200961');
DeleteService('vsd');
DeleteService('vsrfr');
DeleteService('QQ Device Manager');
DeleteFile('C:\WINDOWS\cl200961.exe');
DeleteFile('C:\WINDOWS\system32\SDSRP0KC\J001.exe');
DeleteFile('C:\WINDOWS\system32\1TRWTNGR\E001.exe');
DeleteFile('C:\WINDOWS\system32\D5FPBEO94R\B7879.exe');
DeleteFile('C:\WINDOWS\system32\Zsnkstm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\11.scr');
DeleteFileMask('C:\WINDOWS\system32\SDSRP0KC','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\SDSRP0KC');
DeleteFileMask('C:\WINDOWS\system32\1TRWTNGR','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\1TRWTNGR');
DeleteFileMask('C:\WINDOWS\system32\D5FPBEO94R','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\D5FPBEO94R');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте [B]новые логи[/B] по правилам ([B]virusinfo_syscure.zip[/B], [B]virusinfo_syscheck.zip[/B] и [B]hijackthis.log[/B])
29.06.2010, 15:12
Natusya

ой спасибки большое, я вас обожаю, сейчас всех выгоню с интернета и за дело, и отпишусь :>
29.06.2010, 16:14
Natusya

:( че то не помогает, так и лезет на этот сайт :(
вот собрала после скрипта, скрипт который вы написали очень очень быстро выполнился.
29.06.2010, 16:38
DefesT

virusinfo_cure.zip - уберите из вложений
РАдмином пользуетесь?
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\scmasvstart.dll');
DeleteFile('C:\WINDOWS\system32\0JE0HMUM\A28.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YTIJGZ0Z\A28[1].exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ScmSrv\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам
29.06.2010, 21:09
thyrex

А также сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
30.06.2010, 09:59
Natusya

Добрый день:)!
Вообщем сегодня с утра сделала скрипт 1, затем скрипт 2, которые вы мне написали, перезагрузилась. Тьфу, тьфу, тьфу всё работает :>! Не выходит сообщение которое лезло на сайт soft.setheo.com/lib.zip, в Диспетчере задач нет посторонних процессов, юзеры с 9 утра работают пока без проблем:)!!!!
Вот логи после выполнения.
Вы не представляете как помогли, мы вместе бухгалтерами с пол месяца мучились:>!!!!!!!
Спасибо ОГРОМНОЕ!!!!!!!!!!! Надеюсь не пристанет зараза больше:beer:!!!
Огромное всем вам спасибо что вы есть!!!!!!:)
30.06.2010, 10:03
Natusya

DefesT вам отдельное СПАСИБИЩЕ!!!!!!!!!!!))))
30.06.2010, 10:37
thyrex

Выполните написанное в сообщении №18

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Ati2evxx.exe','');
SetServiceStart('Aeen', 4);
DeleteService('Aeen');
DeleteFile('C:\WINDOWS\Ati2evxx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
01.07.2010, 10:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\scmasvstart.dll - [B]HEUR:Worm.Win32.Generic[/B] ( DrWEB: Trojan.MulDrop1.35474, BitDefender: Backdoor.Generic.390080, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\zsnkstm.exe - [B]Backdoor.Win32.IRCBot.pok[/B] ( DrWEB: BackDoor.IRC.Bot.464, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\11.scr - [B]Backdoor.Win32.IRCBot.pok[/B] ( DrWEB: BackDoor.IRC.Bot.464, AVAST4: Win32:Malware-gen )[/LIST][/LIST]