Там, проверил, стало быть установленная обновлена по максимуму. А на новую боюсь компания фиг денег даст, но буду узнавать
Тогда жду помощи дальнейшей по истреблению червяка) в ответ обязательно отблагодарю)
Там, проверил, стало быть установленная обновлена по максимуму. А на новую боюсь компания фиг денег даст, но буду узнавать
Тогда жду помощи дальнейшей по истреблению червяка) в ответ обязательно отблагодарю)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пока результатов обработки карантина нет. Ждем-с
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Подавляющее большинство файлов в карантине оказались мусором
Рекомендую начать смену паролей, используемых в сети. Вполне возможно, что они стали известны злоумышленникам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Это я понимаю, вы думаете что и компы локальной сети не подключенные к интернету тоже могут быть заражены?
Какие мои дальнейшие действия помимо этого? Ведь червь то по-прежнему сидит
Последний раз редактировалось tchuiman; 09.07.2013 в 16:07.
Подскажите чего делать то?)
...
Сообщение от thyrex
это сделано, все сменил, а дальше?
есть хоть какие-то новости? или глухо совсем??
Сделайте свежий лог MBAM
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
отпишите, какие сейчас проблемы.
После выполнения скрипта пишет что часто используемые уязвимости не обнаружены. В логе МВАМ тоже только что к эксплореру привязалась ссылка
Выложить больше файлы не могу, так что выкладываю текстово
15.07.2013 11:53:13
mbam-log-2013-07-15 (11-53-13).txt
Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 420335
Времени прошло: 1 часов , 46 минут , 17 секунд
Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)
Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)
Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)
Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)
Объекты реестра обнаружены: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.2345.com/?k1112958) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.2345.com/?k1112958) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.
Обнаруженные папки: 0
(Вредоносных программ не обнаружено)
Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)
(конец)
Единственное. что в папках windows\debug и по прежнему висит ПО prassi и при перезагрузке выскакивает сообщение, что ошибки при загрузке нескольких системных процессов qibin.vbe и ma.vbe - кто нить знает что это за файлы?
Сделайте логи новой версией AVZ (ссылка та же) и RSIT новый сделайте.
WBR,
Vadim
Сделал, поскольку лимит прикрепления файлов исчерпан, то вот ссылка на rghost
http://rghost.ru/47431901
Очистите через Мой кабинет-Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово
Нового в системных папках не появилось, что хороший признак. Осталось три трояна и следы жизнедеятельности взломщиков, которые удалим таким скриптом:После перезагрузки выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{452ADB5B-00BE-469D-A65F-3046146B2ED5}'); TerminateProcessByName('c:\windows\pipi\opk.exe'); DeleteFile('c:\windows\pipi\opk.exe','32'); DeleteFile('C:\WINDOWS\system32\gzQGXLi.exe'); DeleteFile('C:\WINDOWS\system32\mCOoJty.exe'); DeleteFile('C:\WINDOWS\system32\QBJDwsO.exe'); DeleteFile('C:\WINDOWS\system32\OmcDpav.exe'); DeleteFile('C:\WINDOWS\system32\cs.exe'); DeleteFile('C:\WINDOWS\system32\KAVSETUPS_66_29746.exe'); DeleteFile('C:\WINDOWS\system32\KAVSETUPS_66_30098.exe'); DeleteFile('C:\WINDOWS\system32\DUMP.COM'); DeleteFile('C:\WINDOWS\system32\c.exe'); DeleteFile('C:\WINDOWS\system32\gouri.bat'); DeleteFile('C:\WINDOWS\system32\sb.dat'); DeleteFile('C:\WINDOWS\system32\nanrenms.js'); DeleteFile('C:\WINDOWS\system32\nanren.txt'); DeleteFile('C:\WINDOWS\system32\DUMP.TMP'); DeleteFile('C:\WINDOWS\system32\SET3047.tmp'); DeleteFile('C:\WINDOWS\system32\SET3045.tmp'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\ojoxm.cc3','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\xnobm.cc3','32'); DeleteFile('C:\Program Files\2345xiufudashi\QTmain.exe','32'); DeleteFile('C:\Program Files\Wuji\2013627\WJNews.exe','32'); DeleteFile('C:\Program Files\kuping4\kuping_v4.exe','32'); DeleteFile('C:\WINDOWS\Debug\wpdmtp.exe','32'); DeleteFile('C:\WINDOWS\Thunder\lsess.exe','32'); DeleteFile('C:\WINDOWS\srchasst\wmpserv.dll','32'); DeleteDirectory('C:\WINDOWS\system32\i5736'); DeleteFileMask('C:\WINDOWS\Thunder','*',true); DeleteDirectory('C:\WINDOWS\Thunder'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\pipi\Opk.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
WBR,
Vadim
Готово
После перезагрузки снова цепанулась стартовая 2345.com и снова выдало сообщение дисп. службы о сбое в запуске файлов qibin.vbe, ma.vbe
WBR,
Vadim
Сделал
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 delref %SystemRoot%\THUNDER\LSESS.EXE delref %SystemRoot%\MSAPPS\MSINFO\MSSYCHX.EXE delref %Sys32%\SENDMINIAPP.EXE delref HTTP://WWW.2345.COM/?K1112958 delref %SystemRoot%\PIPI\OPK.EXE delall %SystemRoot%\DEBUG\BROWSER\SPRESRT.EXE delref %SystemRoot%\RESOURCES\SMSCVCY.EXE delref %SystemRoot%\SRCHASST\WMPSERV.DLL delref %Sys32%\SETUP delref %SystemDrive%\PROGRAM FILES\LIEBAO\LBBROWSER\LIEBAO.EXE delref %SystemDrive%\PROGRAM FILES\搜狐影音\SOHUAUTODETECTOR.DLL delref %SystemDrive%\PROGRAM FILES\搜狐影音\SHRES.EXE delref %SystemDrive%\PROGRAM FILES\°ЧНГKTV\X179PLUGIN.DLL restart
Проверьте, что с проблемами.
WBR,
Vadim
все тоже самое, после перезагрузки как будто откатывается назад
Уважаемый(ая) tchuiman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
