Показано с 1 по 7 из 7.

Помогите вылечить систему (заявка № 12487)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    17
    Вес репутации
    62

    Thumbs up Помогите вылечить систему

    Здравствуйте. Собственно, проблема в сабже. Способ инфицирования неизвестен, но очень похоже на серьезную уязвимость в Firefox (использую последнюю на данный момент версию - 2.0.0.6). Прогонял систему AVZ (мне пришлось изменить название исполняемого файла на avze.exe, иначе он не запускался) и CureIt'ом.

    Примечание: Подозрения AVZ на RunPad Shell и LockWin можете смело игнорировать, т.к. это программы для компьютерных клубов.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('c:\windows\system32\DRIVERS\srv.sys','');
     QuarantineFile('c:\windows\SYSTEM32\spooldr.sys','');
     QuarantineFile('c:\windows\System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('c:\windows\System32\DRIVERS\Mdog43.sys','');
     QuarantineFile('c:\windows\System32\Drivers\Dbtg55.SYS','');
     QuarantineFile('c:\windows\system32\spooldr.sys','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('c:\windows\System32\DRIVERS\smtpdrv.sys');
     DeleteFile('c:\windows\SYSTEM32\spooldr.sys');
     DeleteFile('c:\windows\System32\DRIVERS\Mdog43.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12487
    4.скачать ccleaner, установить и почистить им основательно.http://soft.softodrom.ru/ap/p5628.shtml Перед установкой убрать галку с установки тулбара.
    5.новые логи сделать

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    17
    Вес репутации
    62
    Архив с файлами на карантине на сервер загрузил.
    Компьютер с помощью утилиты CCleaner почистил.
    Новые логи:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O20 - Winlogon Notify: botreg - C:\WINDOWS\
    2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine();
    QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
    QuarantineFile('C:\WINDOWS\system32\vedxga5me3.exe','');
    DeleteFile('c:\windows\System32\DRIVERS\drivers\symavc32.sys');
    DeleteFile('c:\windows\System32\DRIVERS\drivers\vedxga5me3.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    3.новые логи сделать.

  6. #5
    Junior Member Репутация
    Регистрация
    20.06.2007
    Сообщений
    17
    Вес репутации
    62
    Спасибо за столь оперативную и эффективную помощь!

    1. Никаких подозрительных строчек нет.

    2. Компьютер абсолютно чист. Нет смысла слать логи.

    3. Я вручную скопировал некоторые вирусы (вычислил по дате создания) и заархивировал их. Куда мне их слать?
    3.1. Также у меня есть вредоносный java-скрипт (автор z0s, по поиску в гугле можно увидеть еще несколько сайтов с тем же вредоносным кодом) с сайта, который и запустил у меня всю эту цепочку вирусов. Куда мне его слать?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Auren,
    спасибо у нас не пишут, у нас нажимают на него
    что из этого нужно :
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: разрешен автоматический вход в систему
    P.S.вирусы нужно запаковать в zip с паролем virus, и по ссылке в шапке темы

    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 6
    • Обработано файлов: 104
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\документы\\settings\\bot.dll - Trojan-Proxy.Win32.Xorpix.bq (DrWEB: BackDoor.Bech)
      2. c:\\ntdetect.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.21 (DrWEB: Program.RemoteAdmin)
      3. c:\\windows\\system32\\drivers\\mdog43.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
      4. c:\\windows\\system32\\spooldr.sys - Email-Worm.Win32.Nulprot.e (DrWEB: Trojan.NtRootKit.375)
      5. \\dllh8jkd1q1.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)
      6. \\dllh8jkd1q2.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)
      7. \\dllh8jkd1q5.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)
      8. \\dllh8jkd1q6.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)
      9. \\dllh8jkd1q7.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)
      10. \\home.exe.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)
      11. \\kernelwind32.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)
      12. \\kernelw.sys - Packed.Win32.Tibs.ap (DrWEB: Trojan.NtRootKit.426)
      13. \\ldr1d.tmp - Trojan-Downloader.Win32.Agent.djt (DrWEB: Trojan.MulDrop.873
      14. \\msdnc2.exe - Trojan.Win32.Agent.bmp (DrWEB: Trojan.MulDrop.8870)
      15. \\vedxga4me1.exe - Trojan-Dropper.Win32.Agent.bwd (DrWEB: Trojan.MulDrop.878
      16. \\vedxga5me3.exe - Trojan-Downloader.Win32.Small.fox (DrWEB: Trojan.DownLoader.32554)
      17. \\vedxg4am1et2.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)
      18. \\vedxg6ame4.exe - Packed.Win32.Tibs.bv (DrWEB: Trojan.Packed.142)


  • Уважаемый(ая) Auren, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. !!!Помогите вылечить систему!!!
      От viosna в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.08.2011, 22:50
    2. Помогите вылечить систему!!
      От Shifra в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 13.04.2011, 00:44
    3. Помогите вылечить систему?
      От h00ch в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.06.2010, 10:15
    4. Помогите вылечить систему!
      От torvill в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.03.2009, 13:00
    5. Не удается вылечить систему
      От maratfx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.07.2007, 02:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00232 seconds with 20 queries