Показано с 1 по 9 из 9.

Помогите пролечить (заявка № 115268)

  1. #1
    Junior Member Репутация
    Регистрация
    29.08.2008
    Сообщений
    36
    Вес репутации
    34

    Помогите пролечить

    Комп на Win Server 2003, наловили зловредов, пролечили Каспером, машинка все равно подглючивает. Работает прокси-сервером, антивируса там нет - в ближайшее время установят. При входе в систему через три кнопки - нет имени пользователя, каждый раз приходится набирать вручную. Посмотрите, плиз - есть еще что?
    Последний раз редактировалось Oldmans; 20.01.2012 в 09:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Oldmans, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Здравствуйте!!!

    - Пофиксите в HijackThis:
    Код:
    O4 - S-1-5-18 Startup: KsESC82QeB8.exe (User 'SYSTEM')
    O4 - .DEFAULT Startup: KsESC82QeB8.exe (User 'Default user')
    O4 - .DEFAULT User Startup: KsESC82QeB8.exe (User 'Default user')
    - Выполните в АВЗ:
    Код:
    begin
     QuarantineFile('C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\KsESC82QeB8.exe','');
     DeleteFile('C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\KsESC82QeB8.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    Перезагрузите компьютер

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Повторите логи + - Сделайте лог RSIT

  5. #4
    Junior Member Репутация
    Регистрация
    29.08.2008
    Сообщений
    36
    Вес репутации
    34
    пофиксено, выполнено, quarantine.zip отправлено

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в АВЗ:
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\0.6479358336578094.exe','');
    DeleteFile('C:\WINDOWS\system32\0.6479358336578094.exe');
    QuarantineFile('C:\WINDOWS\system32\0.9657161798781205.exe','');
    QuarantineFile('C:\WINDOWS\system32\gptsvc.exe','');
    DeleteFile('C:\WINDOWS\system32\0.9657161798781205.exe');
    QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\6Wt48WbnM5o.exe','');
    DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\6Wt48WbnM5o.exe');
    regkeyparamdel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder', 'C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\6Wt48WbnM5o.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    перезагрузите Компьютер

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    Что с проблемами?

    Повторите лог РСИТ + Сделайте лог полного сканирования MBAM.

  7. #6
    Junior Member Репутация
    Регистрация
    29.08.2008
    Сообщений
    36
    Вес репутации
    34
    Комп заработал шустро, правда - имя пользователя при входе в систему так и приходится писать вручную.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Удалите в MBAM:
    Код:
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441} (Trojan.Agent) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441} (Trojan.Agent) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144} (Backdoor.Bot) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144} (Backdoor.Bot) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9212155} (Worm.AutoRun) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9212155} (Worm.AutoRun) -> Действие не было предпринято.
    HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT (PUP.Mailer.Blat) -> Действие не было предпринято.
    HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\ACP.starter (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
    
    HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT|SMTP server (PUP.Mailer.Blat) -> Параметры: smtp.yandex.ru -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.
    
    C:\WINDOWS\Microsoft.NET\csrss.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
    
    C:\Documents and Settings\Default User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\Администратор\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    
    C:\WINDOWS\system32\drivers\ctfmon.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
    Папки знакомы?
    Код:
    C:\WINDOWS\system32\28463
    C:\WINDOWS\security
    Выполните в АВЗ:
    Код:
    begin
    regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^6Wt48WbnM5o.exe');
    end.
    IE обновляйте...

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    29.08.2008
    Сообщений
    36
    Вес репутации
    34
    Цитата Сообщение от Techno Посмотреть сообщение
    Удалите в MBAM:
    Папки знакомы?

    Выполните в АВЗ:

    IE обновляйте...
    Удалил, и папки левые тоже. АВЗ выполнил. ИЕ чуть позже обновлю...
    Надо будет потом еще логи выкладывать?
    Последний раз редактировалось Oldmans; 23.01.2012 в 15:12.

  11. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\default user\\главное меню\\программы\\автозагрузка\\ksesc82qeb8.exe - Backdoor.Win32.Bredolab.wbt ( DrWEB: Trojan.Carberp.29, BitDefender: Trojan.Generic.KD.519759, AVAST4: Win32:FakeAlert-CJO [Trj] )
      2. c:\\windows\\system32\\0.6479358336578094.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Carberp.10, BitDefender: Gen:Heur.Kelios.1, AVAST4: Win32:FakeAlert-CJO [Trj] )
      3. c:\\windows\\system32\\0.9657161798781205.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Carberp.10, BitDefender: Gen:Heur.Zygug.1, AVAST4: Win32:MalOb-HX [Cryp] )


  • Уважаемый(ая) Oldmans, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помогите пролечить ноутбук
      От Saule1975 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.01.2011, 21:54
    2. Помогите пролечить Win32.Gael.3660
      От Psionic в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.06.2010, 12:28
    3. помогите пролечить комп отключается
      От faps в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 19.03.2010, 12:16
    4. Помогите правильно пролечить машину...
      От andreyka65 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 06.10.2009, 21:12
    5. Помогите пролечить ....
      От ИгOPь в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:47

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00393 seconds with 16 queries