Здравствуйте. Мой компьютер подвергся атаке. Запущенный др. веб не смог убрать бэкапы и при перезагрузке экран снова и снова заполняется маленькими табличками как бы из под symantec. Вначале, открывался текст письма, где мой удаленный недоброжелатель заявлял о себе, а потом текст перестал открываться и экран начинает забиваться табличками symantec сразу, как только я подключаюсь по выделенке к сети. Анализ показал, что ко мне подключились и я не знаю, как избавиться от этого гостя и тех гадостей, что он мне сделал. Всё что я смогла, это отправить подозрительные файлы в карантин др. Веб. Я не занималась безопасностью своего ПК, являюсь обычным юзером. В ПК ничего не менялось с момента его покупки с 2005 года.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
удалите аваст второй антивирус вам не нужет , симантек - отключить .... curet не нужно запускать во время работа авз ... внимательно читаем правила ... скачайте C:\WINDOWS\System32\Drivers\Jpw20.sys - force delete
віполните скрипт ....
а как отключить symantec? и их у меня два. Один в Common files (Symantec shared), а другой в Program files (Symantec). Я пробовала удалить первый, но он оказался защищен и используем другим пользователем. Другого способа отклчения я не знаю И еще я не поняла, какой карантин мне прикреплять. Тот, что остался или новый, который создасться после скачивания того, что Вы мне прислали? И где его найти в программе AVS (?) . Я правильно поняла, что нужен именно оттуда карантин? Заранее спасибо и извините за немного глупые вопросы - я впервые занимаюсь подобными темами.
Добавлено через 1 час 1 минуту
Появился еще один большой минус. Не отключается подключение к интернету. Т.е., вроде оно как бы отключается, когда я отключаю соединение и выключаю машину, но когда я ПК опять включаю, сеть оказывается подключенной!
Последний раз редактировалось Елена Пономарева; 21.08.2008 в 13:22.
Причина: Добавлено
Запуск системы в минимальной конфигурации
1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему, далее по тексту.
Проблема. Мне написали, что отказано в доступе при попытке изменения службы. Для выполнения данного действия нобходимо войти в систему с учетной записью администратора. Еще просятся на установку два обнаруженных Windows обновления, т.е. новые программы подселенцы. Перезагружаться боюсь.
не получается. опять отказ в доступе. В службах я ставлю галочку на "не отображать службы майкрософт", а остальное отключить. Нажимаю "применить" и он пишет отказ в доступе. При этом, в правом нижнем углу появляются какие то строики на черном фоне с какими то кодами. Если же я не нажимаю на галочку "не отображать службы майкрософт", то некоторые оказываются помеченными галочками автоматически. Нажимаю "ок" и опять та же запись об отказе. Скрипт выполнила. ПК перегружался автоматически. Может я что-то не так делаю?
Добавлено через 30 минут
у меня был установлен аваст. именно он давал ту таблицу. программу удалила. после этого отметила "не показывать майкрософт" и кнопка "отметить всё" погасла сама собой. нажала ввод и всё сработало. ПК перезагрузился. Я всё правильно сделала? Теперь, как я понимаю, мне надо переходить к следующему разделу письма, которое Вы мне отправили выше. Так? И у меня еще вопрос про отправление карантина. Как это сделать и где его взять, чтобы отправить?
Последний раз редактировалось Елена Пономарева; 26.08.2008 в 14:50.
Причина: Добавлено
? И у меня еще вопрос про отправление карантина. Как это сделать и где его взять, чтобы отправить?
Прочитайте приложения 2 и 3 правил. Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Сделайте новые логи, плиз. Бог с ним, с Авастом. Не хочет удаляться - ему же хуже
удалите аваст второй антивирус вам не нужет , симантек - отключить .... curet не нужно запускать во время работа авз ... внимательно читаем правила ...
скачайте C:\WINDOWS\System32\Drivers\Jpw20.sys - force delete
віполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\DE29~1\LOCALS~1\Temp\n yw7Dyu8.sys','');
QuarantineFile('Jpw20.sys','');
DeleteFile('Jpw20.sys');
DeleteFile('C:\DOCUME~1\DE29~1\LOCALS~1\Temp\nyw7D yu8.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.пришлите карантин согласно приложения 3 правил ...
повторите логи
ну и где там написано такое ?
ничего не нужно нажимать там ссылка сразу на скачивание( просто тыц на нее и ничего не нажимать) ... качается сразу IceSword
я её и скачала и она сразу меня продиагностировала, нашла программу шпиона и предложила исправления. на этом этапе я остановилась, т.к. программа предложила для исправления купить её онлайн. Я уже запуталась окончательно. Какие мне шаги делать сейчас?
добрый день. выслала запрошенный карантин. не могу отправить новые логи - не знаю как их прикрепить к уже созданной теме. По страничке загрузки, поняла, что речь идет только о карантинах, а не логах....
Добавлено через 1 минуту
да, забыла сказать. Ice Sword закачала. Всё нашла и разобралась.
Последний раз редактировалось Елена Пономарева; 28.08.2008 в 13:49.
Причина: Добавлено
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
"файл руткита путь к которому показал хелпер". ЧТо такое файл руткита? Я так поняла, что надо открыть диск С и справа в окне появились какие-то файлы среди которых не было ни одного, которые подошли бы под определение :код. Что я не так сделала?
Уважаемый(ая) Елена Пономарева, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: