Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Прошу проверить после лечения (заявка № 10990)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39

    Exclamation Прошу проверить после лечения

    Наконец отлечили бухгалтерский комп.
    Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\program files\blink\blink.exe','');
     QuarantineFile('C:\Program Files\Blink\home.js','');
     QuarantineFile('C:\WINXP\MS32DLL.dll.vbs','');
     DeleteFile('C:\WINXP\MS32DLL.dll.vbs');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    пофиксить
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/?s=waterfalls1aw&g=1&pc=&bd1=61&bd2=60&bd3=177&ipc=RU&sd1=5 5&sd2=54&sd3=207
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
    O14 - IERESET.INF: START_PAGE_URL=about:blank
    E:\Setup.exe - вам знаком?
    Последний раз редактировалось Muzzle; 12.07.2007 в 03:50. Причина: добавил

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    скрипт - выполнен
    карантин - выслан
    профиксино

    E:\Setup.exe - эээ... E - это сидиром... пустой...

    Добавлено через 1 час 45 минут
    ну как там? все плохо?
    Последний раз редактировалось totoshka; 12.07.2007 в 11:28. Причина: Добавлено сообщение
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    MS32DLL.dll.vbs - Worm.VBS.Solow.a
    его мы удалили,про остальные файлы, подождём ответ от ЛК

  6. #5
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    Я тут в ожидании ответа, поставила аваст (потому что бесплатно, потому что пугают всякими проверками)... Аваст просканировал диски... И нашел опять MS32DLL.dll.vbs на С и на D (в корнях)....
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от totoshka Посмотреть сообщение
    Я тут в ожидании ответа, поставила аваст (потому что бесплатно, потому что пугают всякими проверками)
    Напрасно. Толку от него ни какого. Лучше проведите полную проверку в безопасном режиме CureIT.

  8. #7
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Напрасно. Толку от него ни какого. Лучше проведите полную проверку в безопасном режиме CureIT.
    еще раз? ну ладно... логи еще раз выслать?

    CureIt уже эти файлы находил, удалял, потом в AVZ их удаляли, и после всего этого Аваст их снова нашел... не такой уж он видать и бесталковый... на самом деле его поставили только потому что платные антивирусы детская областная библиотека на все свои компы не потянет, если есть какой-нить бесплатный лучше Аваста - посоветуйте, плииз... А то сами знаете, проверки решили устроить всем по поводу лицензионных прог...
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Давайте.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Надо еще разок поискать и поудалять autorun

    Every 200 seconds VBS/Solow-A enumerates available devices in attempt to copy itself with the filename MS32DLL.DLL.VBS and to create the file autorun.inf that contains instructions to autorun the copy of the worm once infected drive is accessed. This file should be deleted.
    Диски сетевые подключенные есть? Если да, то отключить. Может пролезть с другого зараженного подобным вирусом.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    Сейчас комп не подключен, а до этого был в доменной сети. Сейчас идет повторная проверка CureIt: удален autorun.inf с диска С,D, найдены Program.SrvAny в system32 и Blink.dll как возможный Dloader троян... Сейчас убивается карантин AVZ с прошлой проверки...
    MountPoint2 удаляли, но autorun'ы не находили.....
    ...проверка продолжается....
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  12. #11
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    Логи повторной проверки:
    Последний раз редактировалось totoshka; 01.11.2007 в 18:52.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Диски открываются? И как вообще ощущение после лечения.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    да, диски все открываются... ощущения... да вроде все нормально... только вот... "вроде все нормально" было и до этого... в смысле до повторного повторения всех операций... пока поставленный на будующее аваст не нашел все то же самое, что вроде как удалили уже удалили до этого..... все ли удалилось на этот раз? вылечен все таки комп или нет? можно возвращать бухгалтерам его?
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Все-таки есть большое подозрение, что прописался он на каком-то съемном диске, который подключали к нему.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    Все-таки есть большое подозрение, что прописался он на каком-то съемном диске, который подключали к нему.
    Оба съемных дисков, что у нас есть, постоянно проверяются на наличие autorun.*
    Однако на компе постоянно генерятся в реестр MountPoint2 - это нормально?

    Др Веб находит:
    srvany.exe в ...system32 и оставляет без лечения

    SpyBot Search And Destroy нашел проблены и я их исправила. но затем AdAware2007 опять нашел вот это:

    Код:
    Family Id: 791  Name: WhenU.SaveNow  Category: Misc  TAI:4
      Item Id: 300016914  Value: Root: HKCR Path: wusn.1
    PS: В AdAware это исправлять не стала, ибо был печальный опыт.

    Добавлено через 9 минут
    Цитата Сообщение от Muzzle Посмотреть сообщение
    про остальные файлы, подождём ответ от ЛК
    Какие нибудь новости есть?
    Последний раз редактировалось totoshka; 13.07.2007 в 02:06. Причина: Добавлено сообщение
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    srvany.exe - эт кусок от кряка windows SP1 ,т.к у вас SP2 можете его удалить,у него есть ещё и корешь resetserice.exe
    давайте попробуем почистить следы autorun`ов с помощью утилитки anti_autorun

  18. #17
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    Результат проги:
    Мой личный - чист, испытуемый - чист.
    Последний раз редактировалось totoshka; 13.07.2007 в 02:21.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Давайте уберём этот Blink.
    C:\Program Files\Blink\blink.dll - Backdoor.Win32.Agent.aqr (по Касперскому)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\program files\blink\blink.exe');
     DeleteFile('C:\Program Files\Blink\blink.dll');
     BC_DeleteFile('c:\program files\blink\blink.exe');
     BC_DeleteFile('C:\Program Files\Blink\blink.dll');
     BC_DeleteSvc('Blink Service');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O9 - Extra button: Go to Blink - {95F6242A-62E4-4756-892F-F5D5D399CA25} - C:\Program Files\Blink\home.js
    O23 - Service: Blink Service - Unknown owner - C:\Program Files\Blink\blink.exe" "C:\Program Files\Blink\blink.dll" Service (file missing)
    повторите логи

  20. #19
    Junior Member Репутация
    Регистрация
    20.06.2007
    Адрес
    Москва
    Сообщений
    90
    Вес репутации
    39
    Цитата Сообщение от Muzzle Посмотреть сообщение
    Давайте уберём этот Blink.
    повторите логи
    Давайте, правда у него uninstall есть ... Ну думаю AVZ надежнее будет ... ушла в процесс



    Такой момент вот тут http://virusinfo.info/showthread.php?t=8877 указано как боротся с этими авторанами.
    а) Раскрыть ключ
    HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
    и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.
    Немного не понятно - нужна ли запятая после C:\WINDOWS\system32\userinit.exe ?
    Последний раз редактировалось totoshka; 13.07.2007 в 02:39.
    [I]Лень - это привычка отдыхать заблаговременно...[/I]

  21. #20

  • Уважаемый(ая) totoshka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Прошу проверить логи после лечения
      От Leonidich в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.01.2011, 21:40
    2. Прошу проверить логи после лечения
      От Leonidich в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.06.2009, 08:46
    3. Прошу проверить логи после лечения
      От Leonidich в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:32
    4. Ответов: 5
      Последнее сообщение: 03.02.2009, 09:09
    5. Прошу проверить после лечения
      От lvlike в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.07.2007, 12:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01519 seconds with 16 queries