Показано с 1 по 19 из 19.

Последствия заражения (заявка № 15479)

  1. #1
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60

    Thumbs up Последствия заражения

    Приветствую, уважаемые форумчане!
    Машина моя была заражена всем, что только придумано с безобидного строительного портала, не смотря на установленный Каспер 7, после "лечения" на автомате возникла куча проблем, в частности оперативка загружена постоянно на 50% минимум, плюс покалечились системные файлы до такой степени, что винда прекратила функционировать полностью, с трудом, но я ее заставил работать, но проблемы еще видимо есть.
    Систему я протестировал по инструкции и прикрепляю логи. Посмотрите, пожалуйста, результаты тестирования и подскажите что мне делать?
    Заранее благодарен, Vik.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DelWinlogonNotifyByFileName('ovrscn.dll');
     DelBHO('00000010-6F7D-442C-93E3-4A4827C2E4C8');
     DelBHO('CFBFAE00-17A6-11D0-99CB-00C04FD64497');
     QuarantineFile('C:\WINDOWS\nem220.dll','');
     QuarantineFile('C:\WINDOWS\ljusg.exe','');
     QuarantineFile('ovrscn.dll','');
     QuarantineFile('C:\Program Files\Internet Optimizer\optimize.exe','');
     QuarantineFile('C:\EARTHC~1.SCR','');
     DeleteFile('C:\Program Files\Internet Optimizer\optimize.exe');
     DeleteFile('ovrscn.dll');
     DeleteFile('C:\WINDOWS\ljusg.exe');
     DeleteFile('C:\WINDOWS\nem220.dll');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15479
    2. Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Спасибо, принято, выполняю.

  5. #4
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Все, что сказали, сделал. Карантин и новые логи готовы.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O4 - Global Startup: Color Calibration.lnk = ?
    O4 - Global Startup: Instant Update Reminder.lnk = ?
    O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm119YYRU
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('runtime2');
    BC_Activate;
    RebootWindows(true);
    end.
    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Alerter (Alerter)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
    >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
    Лишнее отключим.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Все выполнил, кроме:
    Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) - т.к. связано с фотоаппаратом.
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

    В результате имеем:
    многократные попытки доступа к машине из сети, блокируемые ZoneAlarm,
    оперативка загружена на 50% min, т.е. 512 мегов непонятно чем заняты.

  8. #7
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Что мне делать? Я в растерянности...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Сделайте ещё раз логи.

  10. #9
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Новые логи готовы.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    многократные попытки доступа к машине из сети, блокируемые ZoneAlarm,
    Раз из сети, то здесь от вашего компьютера ничего не зависит. ZoneAlarm блокирует - хорошо. Лечить надо другие компьютеры в сети.
    оперативка загружена на 50% min, т.е. 512 мегов непонятно чем заняты.
    У вас внушительный список процессов и драйверов, imho неудивительно. Возможно кое-что следовало бы удалить или хотя бы убрать из автозапуска?

    В логах ничего подозрительного не нашел...
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    Раз из сети, то здесь от вашего компьютера ничего не зависит. ZoneAlarm блокирует - хорошо. Лечить надо другие компьютеры в сети.

    У вас внушительный список процессов и драйверов, imho неудивительно. Возможно кое-что следовало бы удалить или хотя бы убрать из автозапуска?

    В логах ничего подозрительного не нашел...
    Про другие компьютеры понятно, я просто думал, вдруг у меня есть явная уязвимость, привлекающая внимание, но если все ок, то буду пытаться защищаться.
    С процессами и драйверами сложнее, ситуация с загрузкой возникла после заражения и я никак не могу вычислить виновника. Драйвера я потихоньку переустанавливаю на последние версии, а вот процессы боюсь важные сгоряча покоцать...
    В любом случае, спасибо всем огромное за помощь!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    симатек удалить, версия старая - а программа защиты должна быть последней версии, да и я бы симантек не ставил , на вкус и цвет товарища нет
    Прибамбасы от logitec можно отключить.

  14. #13
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Цитата Сообщение от drongo Посмотреть сообщение
    симатек удалить, версия старая - а программа защиты должна быть последней версии, да и я бы симантек не ставил , на вкус и цвет товарища нет
    Прибамбасы от logitec можно отключить.
    Спасибо за совет!
    Прибамбасы от Логитек это монитор на клавиатуре.
    А какой антизверь ставить? Каспер? С ним у меня и случились проблемы, не смотря на последнюю версию и ежечасное обновление... Доктор Веб? Как быть?

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    А какой антизверь ставить? Каспер? С ним у меня и случились проблемы, не смотря на последнюю версию и ежечасное обновление... Доктор Веб? Как быть?
    Прочтите эту книгу, не один 100% защиты не гарантирует, вот страница с рекомендуемыми антивирусами, у них процент пропускания меньше.

  16. #15
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Прочтите эту книгу, не один 100% защиты не гарантирует, вот страница с рекомендуемыми антивирусами, у них процент пропускания меньше.
    Да читал я это все, и еще очень много всего на эту тему перечитал, но все равно очень обибно иметь зараженную машину с поломанной системой при использовании вроде как одной и лучших защитных систем...
    Но всеже я вернусь наверное к Касперу, тем более лицензия оплачена на год и буду надеяться на лучшее.

    Добавлено через 1 час 2 минуты

    Цитата Сообщение от drongo Посмотреть сообщение
    симатек удалить, версия старая - а программа защиты должна быть последней версии, да и я бы симантек не ставил , на вкус и цвет товарища нет
    Прибамбасы от logitec можно отключить.
    Банальная ситуация, не удаляется симантек,ничего не могу с ним сделать
    Последний раз редактировалось Vik; 21.12.2007 в 20:30. Причина: Добавлено

  17. #16

  18. #17
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    16
    Вес репутации
    60
    Спасибо, но у меня интересная версия симантека без ключа, но не ломаная... Поэтому мне помог установочный диск.
    P.S. И снова все не как у людей:
    1 симантек снес;
    2 каспер установил, но не работает половина служб, в частности:
    - сбой инициализации файлового антивируса;
    - сбой проверки трафика почтовым антивирусом;
    - сбой проверки http трафика веб антивирусом;
    - сбой в работе проактивной защиты.
    В результате можно сказать, что Каспер не работает вообще.
    Попробую снести ZoneAlarm и попробовать переинсталировать Каспер. Или не стОит?

    Добавлено через 28 минут

    Снос ZoneAlarm помог, выходит они с Каспером принципиально не совместимы.

    Добавлено через 1 час 12 минут

    Есть информация, с каким фаерволом Каспер не конфликтует? Покупать КИС? Или есть что-нибудь бесплатное?
    Последний раз редактировалось Vik; 21.12.2007 в 23:45. Причина: Добавлено

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Sunbelt Kerio Personal Firewall

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Vik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Последствия заражения
      От Flash05 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.12.2010, 17:42
    2. Последствия заражения
      От Igger в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.12.2010, 10:15
    3. Последствия заражения
      От Flash05 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 30.10.2010, 20:40
    4. Последствия заражения!
      От Timpru в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.09.2010, 12:10
    5. Последствия заражения
      От tgv2009 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 21.09.2010, 21:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00383 seconds with 18 queries