Почтовые ГАДЫ !

[alexsadko68]

Ситуация как всегда, как у всех запутанная.
Прошу просмотреть логи на предмет всякой дряни рассылающей во вложенных jpg файлах почты самораспаковывающийся вирус.

А кратко - следующее.
Логи с домашнего компьютера на котором все базы ежедневно обновляються и ежедневно всё полностью проверяется! Но в субботу корреспондент сообщил, что во вложениях вири.

А получилось следующее: неделю назад устроился на работу.
На рабочем компе сразу почуял неладное трафик жрёт, какая-то зараза не дает включить диспетчер задач. Базы антивируса устарели и т.д. и т.п. Антивирус AVS , я обновил он кое-что вычистил.(А KIS установить не смог так как компьютер параллельно используется для клиент банка и на нём нет локальной сети и даже приводов для диска)
Дальше всё как положено, ставлю AVZ обновляю, запускаю и иду курить. Прихожу и что я вижу дура бухгалтер всё принудительно бахнула и сидит в клиент банке.
После чего рабочий комп стал выкидывать следующие фортели.
1.блокировка диспетчера задач.
2.самостоятельно открваетсю МОИ ДОКУМЕНТЫ - 1раз в 5-7минут.
3.Почтовые серверы сообщают о заражённых вложениях.
4.Исходящий трафик.
5.Блокируется доступ к настройкам обоев.
6.Изменяются свойства папки(СКРЫВАТЬ РАСШИРЕНИЯ ЗАРЕГИСТРИРОВАННЫХ, СИСИТЕМНЫЕ И СКРЫТЫЕ) после каждой перезагрузки.
7.на всех съёмных носителях создаются
КОРЗИНЫ, папки MSO, файлы с расширеиями. ini, htt, exe.

По этому решил на зараженной машине не работать, а отправить почту из дома. Принёс флешку с помощью АВЗ, поотключал все автозапуски, устранил проблемы, проверил флешу антивирусом Симантек 10, базы были скачаны непосредственно перед этим. ЧТО-то нашёл удалил.
Потом проверил утилитой. Вроде чисто. Взял с флешки три файлика и отправил во вложениях - корреспондент сообщил, что вирусы.
И так.
1.Прошу помотреть логи с домашнего!
2.в карантине будут логи и карантин с рабочего(знаю,что не совсем по правилам, но всё -же посмотрите)

карантин не могу загрузить рвётся коннект, интернет от билайн!

Нашёлся один файлик очень интересный! из его свойств
длина 53507 байт
язык китайский(КНР)
производитель "gy"
название "Xgtray"
исх имя файла "wukill.exe"
внутреннее имя "wukiil"
версия файла 1.00
версия программы 1.00

распространяется по сиситеме под разными именами, и сразличными исполняемыми расширениями.

[MedvedD]

Создайте для другого компьютера новую тему, не мешайте логи в одной.

[alexsadko68]

Первые три лога относятся к домашнему.
многоли там грязи?

[PavelA]

"Студент", а карантин в тему засунул. Нехорошо

[alexsadko68]

Создайте для другого компьютера новую тему, не мешайте логи в одной.

Логи с домашнего компьютера!
На мой взгляд всё чисто!
Но корреспонденты жалуются, на заразу в прикрепляемых к почте файлах фото с расширениями *.jpg

[alexsadko68]

Ну так может, кто-нибудь из старших товарищей подсказать, логи чистые или нет?
Второе после очистки системы, не запускается востановление системы, при запуске службы вручную сообщение- внутренняя ошибка.
Третье из папки system32 исчез файл lsass.exe который требуется одной из служб.

[PavelA]

C:\Program Files\AskBarDis\bar\bin\askBar.dll - если это не мешает, то можно не удалять. Это адваре.

wukill.exe - кусок зверя.

[alexsadko68]

C:\Program Files\AskBarDis\bar\bin\askBar.dll - если это не мешает, то можно не удалять. Это адваре.

wukill.exe - кусок зверя.

Хочу удалить!!!
Подскажите скриптик!
Плиз...

[PavelA]

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');

ExecuteSysClean;
RebootWindows(true);
end.

Сделать заново лог Хиджака.
З.Ы. wukill проверь на virustotal.com
Свои машины можешь в раздел, где учишься, кидать вместе с твоими скриптами.
Если правильно напишешь, лишний зачет получишь.

[alexsadko68]

Скрипт выполнил.
Запустил HijackThis.exe
Посмотрел лог и
нашел вот такую запись
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)
-остатки от акрониса, можно её просто пофиксить ведь файла нет?
Нашёл кучу ненужных вещей!
O8 - Extra context menu item: eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Найти с помощью Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/search.htm
O8 - Extra context menu item: Перевести с помощью словарей Рамблера - res://C:\Program Files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm
O9 - Extra button: Acronis*Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
Вопрос! Можно их конечно пофиксить
и вычистить в ручную как из реестра так и dll повыкидывать, но автоматизация лучше!?
Подскажите, с вашей точки зрения, лучший алгоритм для действий в данном случае.
Заранее благодарен.
З,Ы,
Кстати пришёл в голову, может не мне первому, способ доставки программ и файлов с чистой машины
на заражённую на флешках
, для лечения,
исключающий перенос заразы обратно.
Просто нужно вместо флешки использовать USB кардридер, а в качестве носителя использовать SD карту с переключателем используемым для запрета записи.
Записал, сдвинул, и пользуйся
(как на флоппи)

Не запускается служба
Управляет политикой IP-безопасности и запускает ISAKMP/Oakley (IKE) и драйвер IP-безопасности.
Сгинул файл C:\WINDOWS\system32\lsass.exe
Проделки гадов?
Из справки так и не получил вразумительного ответа, чем занимается эта служба. Вроде без неё работает.
А вот сбрендившее - востановление сиситемы беспокоит.

[alexsadko68]

Выполнить:
Сделать заново лог Хиджака.
З.Ы. wukill проверь на virustotal.com
Свои машины можешь в раздел, где учишься, кидать вместе с твоими скриптами.
Если правильно напишешь, лишний зачет получишь.

Старшие товарищи! подскажите алгоритм?

В следующий раз выпишу Предупреждение за оверквотинг

[alexsadko68]

Не понял, что за оверквотинг?
Честно говоря первый раз такой термин слышу, вижу, читаю

Добавлено через 3 минуты

Елки палки, нельзя же размахивать предупреждениями, а тем более их выписывать, не объяснив за чтоОО!?

[MedvedD]

"Оверкво́тинг (англ. overquoting) — избыток цитат в тексте на форуме, в e-mail или в сетевой конференции. Критерием обычно считается превышение объёма цитируемого материала над оригинальным текстом самого автора сообщения. Оверквотингом также считается бессмысленное цитирование сообщения, расположенного непосредственно перед ответом, или же многократное вложенное цитирование."

Избыток цитат в тексте затрудняет нахождение и понимание собственной, высказываемой в данный момент, мысли автора. Сильно увеличивает трафик (это особенно болезненно для ФИДОнета). Запрещён во многих конференциях и форумах.