-
Junior Member
- Вес репутации
- 57
Атаковали автораны
Доброго времени суток!
Надоели автораны, все флэшки перезаражали. Зашёл бы раньше, да какой-то зверь заблокировал ваш сайт, не сразу догадался, что это умышленно. Сейчас прописал ваш ip в ...\drivers\etc\host, вроде стали пускать
Прилагаю логи, правда сделаны давнишней версией avz
Последний раз редактировалось Nekromant; 29.09.2009 в 23:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
QuarantineFile('C:\WINDOWS\system32\sxmg4.rar','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
DeleteFile('C:\WINDOWS\system32\sxmg4.rar');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44513
3. Повторите логи.
Добавлено через 1 минуту
Сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
Последний раз редактировалось Aleksandra; 25.04.2009 в 04:24.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Направил карантин, сделал логи, а вот с гмером неприятность. просто не запускается. Попытался скачать заново - не пускают на сайт. Прописал в host ip, скачал, запустил - через секунду вылетает. Раньше прекрасно работал...
Последний раз редактировалось Nekromant; 29.09.2009 в 23:23.
-
Junior Member
- Вес репутации
- 57
Анекдот почти в тему:
-Доктор, помогите, меня все игнорируют!
-Следующий!!!
Так что с гмером-то делать??? Кто-нибудь в курсе?
-
Сообщение от
Nekromant
Так что с гмером-то делать??? Кто-нибудь в курсе?
Попробуйте это http://virusinfo.info/showthread.php?t=41675
После, не перегружая машину сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
Добавлено через 7 минут
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Максим\sxs32.exe');
QuarantineFile('c:\documents and settings\Максим\sxs32.exe','');
QuarantineFile('C:\Documents and Settings\Максим\Local Settings\Temp\don2.tmp','');
QuarantineFile('C:\Documents and Settings\Максим\Local Settings\Temp\don3.tmp','');
QuarantineFile('C:\Documents and Settings\Максим\М.rar','');
DeleteFile('c:\documents and settings\Максим\sxs32.exe');
DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\don2.tmp');
DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\don3.tmp');
DeleteFile('C:\Documents and Settings\Максим\М.rar');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44513
3. Повторите логи.
Последний раз редактировалось Aleksandra; 26.04.2009 в 22:57.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Sorry, Aleksandra! Больше не буду обзываться!
Хотя согласитесь, подействовало!
Насчёт гмера допёр сам, наткнувшись на тему drongo насчёт переименования антивирусов. (мои эксперименты видно в логах - gmer2 и проч.). Помогло только полное переименование, на смену расширения не реагировал.
Но короче. Скачал kkiller, прогнал. Запустил гмер, не дождался окончания, заснул.
Прилагаю карантин и логи.
Последний раз редактировалось Nekromant; 29.09.2009 в 23:22.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('bluqxs');
QuarantineFile('C:\WINDOWS\system32\qwdepa.dll','');
DeleteFile('C:\WINDOWS\system32\qwdepa.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\bluqxs','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\bluqxs');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('bluqxs');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44513
3. Повторите лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Это снова я.
Последние сутки с компом творилось что-то непонятное.
После выполнения предоженного скрипта компьютер отказался перегружаться, пришлось его выключить насильно. Затем начались старые проблемы - оригинальный gmer не запускался, переименованный сигнализировал красным, что bluqxs по прежнему в системе. Карантин avz оказался пустым (прилагаю). Плюс ко всему не было выхода в интернет, только на яндекс и ещё на пару сайтов. Сегодня с третьего раза удалось сделать все логи, и заработал интернет. Кстати, если раньше на выполнение стандартноых скриптов уходило не больше 20 минут, то теперь гмер тратит 4(!!!) часа, avz скрипты 2 и 3 выполняет по часу. Короче, посмотрите логи, если время будет...
Последний раз редактировалось Nekromant; 29.09.2009 в 23:22.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\csrs.exe.q_8043166_q','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\sxmg4.dll.q_8048400_q','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\winpad23.exe.q_D565200_q','');
QuarantineFile('C:\WINDOWS\system32\wpv331230374798.cpx','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\csrs.exe.q_8043166_q');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\sxmg4.dll.q_8048400_q');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\winpad23.exe.q_D565200_q');
DeleteFile('C:\WINDOWS\system32\wpv331230374798.cpx');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44513
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
направил карантин, компьютер натужно перегрузился (за 3 мин.)
Сделал логи (уже быстрее - минут по двадцать на каждый)
Последний раз редактировалось Nekromant; 29.09.2009 в 23:22.
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
А что, уже закончили?
я только начал...
Вроде всё ок, thank you...
если что увижу, напишу...
-
1. Рекомендую сделать полную проверку компьютера с помощью AVPTool.
2. Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Sorry за глупый вопрос - диски при выполнении скрипта №4 помечать? Если да, то за "0,5-2 мин" не управиться, полчаса минимум...
В общем, по сообщениям нашёл avz у меня и sxs32.exe, и кувэдепу эту несчастную (qwdepa.dll), а потом выпал без объяснения... Мне продолжать? Завтра продолжу, спать пора.
А на AVP трафика не хватает качать, у меня не анлим...
-
Junior Member
- Вес репутации
- 57
Cyberhelper'у карантин отправил, посмотрим, что скажет.
Прогнал "Касперского для Яндекс.Онлайн", тот ничего серьёзного не накопал.
Прицепил логи, поглядите опытным взглядом, может чего не так...
sxs32.dll и qwdepa.dll удалил ручками.
Cyber даёт добро
Последний раз редактировалось Nekromant; 29.09.2009 в 23:22.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\Temporary Internet Files\Content.IE5\KXABC1ER\sxs[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Доброго времени суток, это опять я!
Пять дней провайдер не пускает в интернет по ADSL, пришлось достать старый модем и вспомнить молодость
Прикрепил логи. Вроде бы пока всё чисто...
Последний раз редактировалось Nekromant; 29.09.2009 в 23:22.
-
Прикрепите недостающий лог...
-
-
Junior Member
- Вес репутации
- 57
Прошу прощения за медленную реакцию...
Сделал все логи по-новой
Последний раз редактировалось Nekromant; 29.09.2009 в 23:22.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\максим\local settings\temp\don2.tmp - Trojan-Ransom.Win32.Blocker.ae ( DrWEB: Trojan.Winlock.55 )
- c:\documents and settings\максим\local settings\temp\don3.tmp - Trojan-Ransom.Win32.Blocker.ae ( DrWEB: Trojan.Winlock.55 )
- c:\documents and settings\максим\sxs32.exe - Trojan.Win32.Pakes.njl ( DrWEB: Trojan.Packed.162, BitDefender: Packer.Krunchy.A )
- c:\documents and settings\максим\м.rar - Worm.Win32.AutoRun.fhw ( DrWEB: archive: Win32.HLLW.Lime.3 )
- c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe - Trojan.Win32.Pakes.njq ( DrWEB: Trojan.Packed.162, BitDefender: Packer.RLPack.D )
- c:\windows\system32\sxmg4.rar - Trojan-Downloader.Win32.FraudLoad.vdjm ( DrWEB: archive: Trojan.Fakealert.3765, BitDefender: Trojan.Spy.Nucals.AC )
- c:\windows\system32\wpv331230374798.cpx - Trojan-Downloader.Win32.Injecter.bhi ( DrWEB: Trojan.DownLoad.26718, BitDefender: Trojan.Generic.1266132 )
-