Показано с 1 по 20 из 20.

Достал Brontock и не только... (заявка № 12751)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38

    Thumbs up Достал Brontock и не только...

    1. в компе живет бронток и нахально вылезает изо всех щелей. Последней его фишкой было создание во всех папках файлов .exe с названием, дублирующим корневую папку. Например в папке "Мои документы" была папка Мои документы.ехе, при нажатии на которую открывается проводник
    2. Система при загрузке выдает сообщение, что не найден файл explorasi.exe
    3. В свойствах папки в проводнике отображается только три функции: подключить сетевой диск, отключить сетевой диск, синхронизировать
    Логи прилагаю. Помогите пожалуйста!
    Заранее спасибо. С уважением, Анастасия

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    hijackthis.log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Не запускайте эти имя_папки.exe!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Константин\Local Settings\Application Data\smss.exe');
     DeleteFile('C:\Program Files\ErrorSafe Free\uers.exe');
     DeleteFile('C:\WINDOWS\eksplorasi.exe');
     DeleteFile('C:\Documents and Settings\Константин\Шаблоны\Brengkolang.com');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(13);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пофиксите в HijackThis, если останется:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
    O4 - HKCU\..\Run: [ErrorSafeFree] C:\Program Files\ErrorSafe Free\uers.exe /scan
    O4 - HKCU\..\Run: [ErrorSafeGratis] "C:\Program Files\ErrorSafe Free\uers.exe" /min
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Константин\Local Settings\Application Data\smss.exe"
    Удалите задание в Планировщике.

    Обновите базы вашего NOD32 и сделайте полную проверку компьютера.

    После этого сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    Спасибо.
    В HijackThis ничего из указанных Вами кодов не осталось. Нужно ли удалять задание в Планировщике и (простите за глупый вопрос) где этот Планировщик находится?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Нужно ли удалять задание в Планировщике и (простите за глупый вопрос) где этот Планировщик находится?
    Нужно. Панель Управления - Назначенные задания (в англ. версии Task Scheduler).
    I am not young enough to know everything...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Советую провериться Cure-It, записанным на другой машине на СД. Проверять полностью все диски.
    Во время проверки компьютер не трогать!!!
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    Все сделала. Логи прилагаю

    hijackthis.log

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Больше ничего подозрительного нет. Какие-нибудь проблемы еще остались?
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    при загрузке любого документа ворд система предлагает немедленно сохраниться, т.к. не хватает памяти. даже после перезагрузки.
    до лечения такой проблемы не возникало, свободного места на диске порядка 4,5 гигов.
    и нужно ли включать восстановление системы, отключенное во время первой проверки?

    кстати, вчера после проверки обновленными базами нода cureit нашел еще один бронток и один троян. удалил, конечно. но то, что нод это не нашел - насторожило
    Последний раз редактировалось pilot_bagira; 27.09.2007 в 08:12. Причина: дополнение

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    1 . кое количество оперативной памяти установлено ?
    2 . прикрепите лог cureit он находится \Documents and Settings\user\DoctorWeb\

  11. #10
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    диск С на 37,7 гигов, ОЗУ 448 метров

    CureIt.rar

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    где вы набрали эти экзешники в таком количестве ? ....
    насчет Word ... попробуйте записать файл NORMAL.DOT c другой машины ..
    Последний раз редактировалось V_Bond; 27.09.2007 в 09:18.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    @V_Bond
    Это обычный Бронток. Сколько директорий столько и ехе-файлов на диске.
    @pilot_bagira
    Вопрос такой: что такое диск "F"? Там был "самоходный" червь. Его последствий не наблюдается таких как:в проводнике не отображаются скрытые+системные файлы/папки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    2 PavelA ссори ... не внимательно читал ..

  15. #14
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    насчет Word ... попробуйте записать файл NORMAL.DOT c другой машины ..
    простите мою тупость - как это сделать? ))

    диск F - это рабочая флешка. и чего делать с этим самоходным вирусом? в

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    про NORMAL.DOT почитайте ...
    Бронток уже прибит ...

  17. #16
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    Цитата Сообщение от V_Bond Посмотреть сообщение
    про NORMAL.DOT почитайте ...
    Бронток уже прибит ...
    ыыыыы!!! вы не представляете, как я счастлива!!!!
    нормал.дот утащу завтра с работы.
    а что делать с "самоходным" вирусом на флешке?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    проверить Cureit - должен справиться ... еще такое замечание нод в борьбе с этой заразой (как показывает практика малоэффективен) ... так что хотя бы на время ( пока есть не проверенные носители поставить триал каспера) ...
    Последний раз редактировалось V_Bond; 27.09.2007 в 23:22.

  19. #18
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    каспер... каспер верещал на бронток и ничего с ним не делал... посему был заменен на нод. есть правда ощущение, что нод слабоват.
    думаю все-таки поставить обратно каспер.

    и спасибо огромноев за помощь в лечении!!!

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    cure-it ранее флешки не лечил. Не знаю, как посл. версия.

    Можно лечиться через AVZ. Поиск файлов на диске - искать autorun.* и удалять их. Там еще д.б. добавочный второй файл, который этот autorun запускает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    4.44 - лечит ...

  • Уважаемый(ая) pilot_bagira, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 12.07.2012, 05:22
    2. Последствия после Brontock
      От yanhomik в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.06.2011, 12:56
    3. Достал BN2.TMP
      От altab в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:00
    4. Троян уже достал!!!
      От Ambassador в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:25
    5. IE бар уже достал( ((
      От script88 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.10.2008, 13:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00112 seconds with 17 queries