—траница 1 из 2 12 ѕоследн€€
ѕоказано с 1 по 20 из 34.

— мен€ перевели все WebMoney, видимо словил тро€на. —истему почистил  »—ом и јутпостом. тут логи AVZ & HijackThis. (за€вка є 19719)

  1. #1
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39

    Thumbs up — мен€ перевели все WebMoney, видимо словил тро€на. —истему почистил  »—ом и јутпостом. тут логи AVZ & HijackThis.

    по€вились в корне —:\ три экзешника но  »— сразу показал их попытки доступа к реестру которые и были заблокированы! ‘айлы удалены (хот€ вири в них не обнаружены оќ) ѕосле этого прогнал диски на поиск вирусов и руткитов - все чисто. вечером в 22-45 из кипера перевели все до копейки (конечно сумма относительно не больша€, ~2000вмр, но все же).

     стати после этих фигней с 3 файлами и их попыток была нужда загрузить кипер - в нем почему-то перестал быть сохранен мой ¬ћ»ƒ, € его прописал там по новой, указал кошельки, ввел пароли, на почту выслали авторизацию и € этот код ввел. ѕосле этого в кипер до сегодн€шнего вечера не заходил.

    ¬сю систему проверил  »—ом. ”далил экзешник и дллку из папки system32/drivers (KIS не видел в них вируса кстати).




    —ейчас кака€ проблема: ¬се ли € вычистил и чиста ли система? ѕроверил по инструкции в этом разделе прогами AVZ & HijackThis. Ћоги прикрепл€ю ниже.
    Ќа данный момент сто€т и јутпост и  »—7. »з вирусом они ничего не показывают. “.е. типа после того случа€ все удалено...

    Ѕуду рад ¬ашей помощи.
    ¬ложени€ ¬ложени€

  2. Ѕудь в курсе!
    –еклама на VirusInfo

    Ќадоело быть жертвой? —тань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1503
    outpost с кис не сочетаютс€ в кисе свой ферволл .... outpost - убрать ..
    пофиксите ...
     од:
    O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - ktask.dll (file missing)
    O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe
    O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    выполните скрипт
     од:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{E1290342-AAFF-4f7c-9F45-D665E4BF1A00}');
     QuarantineFile('ktask.dll','');
     QuarantineFile('C:\WINDOWS\system32\cxscheca001.dll','');
     QuarantineFile('ke32paag.dll','');
     QuarantineFile('C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('ke32paag.dll');
     DeleteFile('C:\WINDOWS\system32\cxscheca001.dll');
     DeleteFile('ktask.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложени€ 3 правил ...

  4. #3
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    —делал оба действи€.

     арантин выслал.

    „то-то еще от мен€ требуетс€? ѕовторное сканирование системы?
    ¬ообще как ? „то-то было плохое или все неплохо?

  5. #4
    Banned –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    18.11.2007
    —ообщений
    3,293
    ¬ес репутации
    0
    ¬ карантин тех кого хотели не попали.
    —делайте новые логи...

  6. #5
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    ÷итата —ообщение от wise-wistful ѕосмотреть сообщение
    ¬ карантин тех кого хотели не попали.
    —делайте новые логи...
    —делал все тоже самое что в начале темы делал (три новых файла прикрепл€ю к этому сообщению).

    ѕрогнал еще раз написанный выше скрипт однако в каратине так и осталось теже 4 файла. (“.е. ничего нового!  акой € отправл€л карантин через форму такой он и осталс€)


    ѕ.—.: ѕодскажите еще плиз: Ќадо ли повторно мен€ть пароли вс€кие разные если € их сменил еще до обращени€ на этот форум? (»ли было среди логов что-то страшное?)
    ¬ложени€ ¬ложени€
    ѕоследний раз редактировалось asp1r1n; 13.03.2008 в 19:48.

  7. #6
    Banned –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    18.11.2007
    —ообщений
    3,293
    ¬ес репутации
    0
    —казать точно мы не сможем, т.к. образцы зловредов в карантин не захотели, можем только предположить, что temp\winlogon.exe - Trojan-Proxy.Win32.Small.hu, WINDOWS\csrss.exe может быть Email-Worm.Win32.Scano.ac, cxscheca001.dll - Trojan-PSW.Win32.Agent.im по поводу остальных, кто его знает кто это был. ѕароли в принципе можно дл€ перестраховки сменить ещЄ раз после окончани€ лечени€.
    TrafficCompressor - ¬ы устанавливали?
    Ip6Fw.sys - поищите при помощи авз сервис--поиск файлов на диске, найдЄтс€, пришлите согласно приложению 2.

  8. #7
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    temp\winlogon.exe
    WINDOWS\csrss.exe
    cxscheca001.dll

    Ётих файлов у мен€ на жестком нету. “.е. вручную € их не нашел.


    TrafficCompressor - устанавливал € но уже давно не юзаю.


    Ip6Fw.sys - на диске нет. ≈сть только Ip6Fw.sys.tmp в той же папке.

  9. #8
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1503
    ÷итата —ообщение от asp1r1n ѕосмотреть сообщение
    temp\winlogon.exe
    WINDOWS\csrss.exe
    cxscheca001.dll
    Ётих файлов у мен€ на жестком нету.
    естественно нет ... мы же их удалили скриптом ...
    Ip6Fw.sys.tmp - согласно приложени€ 3 правил ...

  10. #9
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    Ip6Fw.sys.tmp - выслал согласно приложени€ 3

  11. #10
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1503
    присланный файл чистый ...

  12. #11
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    ÷итата —ообщение от V_Bond ѕосмотреть сообщение
    присланный файл чистый ...
    —егодн€ за врем€ моего отсутстви€  »—7 сругалс€ на непон€тный файл:

    обнаружено: потенциально опасное ѕќ Invader ѕроцесс: зЕібУѓоЃФз≤РаіАлЂЫжЬђбУѓиґШлҐАиЈМлҐА (просто куча квадратиков на этом месте)


    ѕрикрпелю сегодн€шние логи ј¬« и ƒжека. ≈сли не трудно посмотрите

    Ќу и вообще - что-то еще нужно ли делать?
    ¬ложени€ ¬ложени€

  13. #12
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1503
    у вас установлены аутпост и кис ... это нормально работать не будет ....
    инвайдер - это попытка внедрени€ в процесс что нормально дл€ защитных программ ...
    зловредного ничего не видно ....

  14. #13
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    ќк спасибо за помощь

  15. #14
    Senior Member –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    21.04.2005
    јдрес
    Perm, Russia
    —ообщений
    5,794
    ¬ес репутации
    2271
    ќдну строчку ещЄ пофиксите в hijackthis - мусор осталс€.
     од:
    O20 - Winlogon Notify: ke32paag - C:\WINDOWS\

  16. #15
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    ѕодскажите пожалуйста что за процесс сидит в  »—овском файволе под названием system (вс€кие svchost.exe видны что в папке виндовс они а у этого system - папка написана system, и разрешает он все вход€щие и исход€щие ”ƒѕ пакеты...

  17. #16
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1503
    svchost.exe запущен от имени system , так запускаютс€ службы windows

  18. #17
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    я убрал галочку с "систем" - все также и работает. »ли она там верно сто€ла?

  19. #18
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    Ќе могу пон€ть че-то... ¬ папке C:\Documents and Settings\Artyom\Local Settings\Temp\ посто€нно содаетс€ файл file***.exe (вместо звезд левые цифры). ¬ышлю файл сейчас по приложению 3. ѕосмотрите плиз что за файл такой.  аспер как всегда молчит. √оворит только на попытки этого файла достучатьс€ до ƒЌ— сервера и куда-то еще (все это блокируетс€ мной). однако файл уже сидит в это врем€ в процессах и жрет нехило % загрузки ÷ѕ. «авершаю его через дистпечер задач и удал€ю из папки...

    ќткуда он беретс€ вобще и что за файл? ќтсылаю по приложению 3 его в архиве...

  20. #19
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1503
    пришла пора делать новые логи .... что -то вы цепл€ете через дыры в системе вы »≈ используете в качестве браузера ?

  21. #20
    Junior Member –епутаци€
    –егистраци€
    13.03.2008
    —ообщений
    17
    ¬ес репутации
    39
    ƒа, Maxthon, по сути »≈.
    „то там с файликом?
    Ћоги до вечера сделаю. Ќо сам сканил ничего не нашел.... Ќо скину все равно.

  • ”важаемый(а€) asp1r1n, наши специалисты оказали ¬ам всю возможную помощь по вашему обращению.

    ¬ цел€х поддержани€ безопасности вашего компьютера насто€тельно рекомендуем:

     

     

    „тобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохран€ть свой компьютер защищенным, рекомендуем следить за последними новост€ми »“-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Ќадеемс€ больше никогда не увидеть ваш компьютер зараженным!

     

    ≈сли ¬ас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • —траница 1 из 2 12 ѕоследн€€

    ѕохожие темы

    1. ¬идимо словил IRC-Worm.Win32
      ќт shyp117 в разделе ѕомогите!
      ќтветов: 3
      ѕоследнее сообщение: 17.03.2012, 20:39
    2. ѕомогите! ¬идимо словил вирус
      ќт allxs в разделе ѕомогите!
      ќтветов: 4
      ѕоследнее сообщение: 18.11.2011, 12:53
    3. ќтветов: 1
      ѕоследнее сообщение: 18.06.2010, 11:27
    4. ќтветов: 4
      ѕоследнее сообщение: 02.04.2010, 09:10
    5. ќтветов: 6
      ѕоследнее сообщение: 15.05.2009, 18:39

    —вернуть/–азвернуть ¬аши права в разделе

    • ¬ы не можете создавать новые темы
    • ¬ы не можете отвечать в темах
    • ¬ы не можете прикрепл€ть вложени€
    • ¬ы не можете редактировать свои сообщени€
    •  
    Page generated in 0.00245 seconds with 17 queries