Компьютер после вирусной атаки, началось с кражи пароля от mail.ru

**Jane_V** · 21.08.2009, 22:57

Буду безумно благодарна за помощь!
Не однократно лечила у себя вирус csrcs.exe различными антивирусами (может это важно)! Появилась в доме флешка, на которой муж носил документы на работу, где и выяснилось что в компе живут вирусы. В это же время пропал доступ к настройкам рабочего стола (Свойства:Экран->вкладки "Рабочий стол" и "Заставка"). В то время не придала этому значения.
Недавно был украден пароль от почтового ящика mail.ru Две недели назад при загрузке компа выскочило окно с просьбой ввести код активации, который надо получить через sms - я вместо этого изменила дату в BIOSe (нет отката системы, или не находится).
В итоге компьютер поработал пару дней, но запускался только с изменением даты. После чего он сдох! Не запускался даже BIOS!
Что теперь? Можно полечить?
До сих пор нет "Диспечера задач", хотя свойства экрана после использования AVZ - появились!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 21.08.2009, 23:07

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{4CAB0A25-330C-4F90-B17C-10FE9C8BB706}');
 QuarantineFile('C:\WINDOWS.0\DOWNLO~1\M4WEBS~1.DLL','');
 QuarantineFile('crypt.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\ntos.exe','');
 BC_DeleteSvc('Wingk60');
 QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wingk60.sys','');
 BC_DeleteSvc('WebClientRpcSs');
 BC_DeleteSvc('TapiSrvlanmanserver');
 BC_DeleteSvc('RDSessMgrThemes');
 BC_DeleteSvc('CryptSvcBITS');
 BC_DeleteSvc('AlerterThemes');
 DeleteFile('C:\WINDOWS.0\System32\Drivers\Wingk60.sys');
 DeleteFile('C:\WINDOWS.0\system32\ntos.exe');
 DeleteFile('C:\WINDOWS.0\system32\sdra64.exe');
 DeleteFile('crypt.dll');
 DeleteFile('C:\WINDOWS.0\DOWNLO~1\M4WEBS~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
такой http://www.gmer.net/ лог сделайте ...

**Jane_V** · 22.08.2009, 00:53

Все сделала
А что лечим?
Не уверена, что все правильно сделала в gmer, может еще раз надо проверить?

**light59** · 22.08.2009, 01:23

Лог gmer сделайте, как написано тут

**Jane_V** · 22.08.2009, 01:26

Я так и думала, спасибо, пойду делать!

Вот все сделала!

Еще бы понимать, что я делаю

Ну, так, на будущее!

**light59** · 22.08.2009, 10:51

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\vsfocevatskbyn.sys','');
 QuarantineFile('c:\windows\system32\vsfoceksmusiwu.dll','');
 QuarantineFile('c:\windows\system32\vsfoceiumpcbxu.dat','');
 QuarantineFile('c:\windows\system32\vsfoceyveotjvy.dll','');
 QuarantineFile('c:\windows\system32\vsfocenkqvnxne.dat','');
 QuarantineFile('c:\windows\system32\vsfoceioijwsqt.dat','');
 QuarantineFile('c:\windows\system32\vsfocebnexmejw.dll','');
 QuarantineFile('c:\windows\system32\vsfoceobwwkipm.dll','');
 QuarantineFile('c:\windows\system32\vsfocekipxmywc.dat','');
 QuarantineFile('c:\windows\system32\drivers\vsfoceivkosdpp.sys','');
 DeleteFile('c:\windows\system32\vsfocenkqvnxne.dat');
 DeleteFile('c:\windows\system32\vsfoceobwwkipm.dll');
 DeleteFile('c:\windows\system32\vsfocekipxmywc.dat');
 DeleteFile('c:\windows\system32\drivers\vsfoceivkosdpp.sys');
 DeleteFile('c:\windows\system32\vsfocebnexmejw.dll');
 DeleteFile('c:\windows\system32\drivers\vsfocevatskbyn.sys');
 DeleteFile('c:\windows\system32\vsfoceyveotjvy.dll');
 DeleteFile('c:\windows\system32\vsfoceiumpcbxu.dat');
 DeleteFile('c:\windows\system32\vsfoceksmusiwu.dll');
 DeleteFile('c:\windows\system32\vsfoceioijwsqt.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сохраните текст ниже как 123.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service vsfocejlqekxwm
gmer.exe -del service vsfocettarrfhi
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet014\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet015\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet016\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet017\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet018\Services\vsfocejlqekxwm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet018\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocejlqekxwm"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vsfocettarrfhi"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet020\Services\vsfocejlqekxwm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet020\Services\vsfocettarrfhi"
gmer.exe -reboot

И запустите 123.bat.
Компьютер перезагрузится.

Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

Повторите логи AVZ + Gmer

Сообщение от Jane_V

Еще бы понимать, что я делаю
Ну, так, на будущее!

Выполняете исследование системы

**Jane_V** · 25.08.2009, 15:11

Вот, сделано

Ну вот, вроде все правильно прочитала, и в прошлый раз все правильно сделала, а теперь... Нет, надо делать ночью, когда ребенок спит

Очень извиняюсь за ошибку!

**Белый Сокол** · 25.08.2009, 15:14

Прикрепите virusinfo_syscure.zip, карантин открепите.

**Jane_V** · 25.08.2009, 17:17

Я правильно понимаю, карантин, это то что virusinfo_cure.zip? И его уже удалили?

**Белый Сокол** · 25.08.2009, 17:18

Абсолютно правильно.

Проблемы наблюдаются?

**Jane_V** · 25.08.2009, 17:31

Если не считать первоначальных проблем с отсутствием "Диспечера задач" и чего-то с Outpost -пишет: "Невозможно открыть данную программу из-за политики ограничения программного обеспечения. За дополнительной информацией обратитесь к системному администратору..."
Я его до этого не трогала, он не удалился и не запускается и не переустанавливается, я так понимаю, что его в реестре надо вычищать?
В остальном вроде все стабильно работает!
И еще не знаю, должна ли обязательно существовать функция "Отката системы"? У меня ее нет!

**Rene-gad** · 25.08.2009, 18:46

Сделайте такой лог: http://virusinfo.info/showpost.php?p=454444&postcount=3
Потом такой: http://www2.gmer.net/mbr/mbr.exe

**Jane_V** · 26.08.2009, 10:21

Уже столько всего применили! Надеюсь мой комп выдержит это испытание

**Jane_V** · 26.08.2009, 10:24

А может кто знает как из Mail.ru Agent выцепить свой пароль? А то агент запускается, и пишет, что у меня там 180 сообщений, а посмотреть я не могу, служба поддержки меня игнорирует.

**AndreyKa** · 26.08.2009, 11:41

В AVZ меню Файл - Восстановление системы - отметьте галочкой строку:
6. Удаление всех Policies ...
и нажмите кнопку "Выполнить операции"

Сообщение от Jane_V

А может кто знает как из Mail.ru Agent выцепить свой пароль?

Пароль такой же как и на почту.

**Jane_V** · 26.08.2009, 12:17

Сообщение от AndreyKa

Пароль такой же как и на почту.

Ага, только пароля от почты я не знаю, в названии темы об этом даже написано!

Добавлено через 11 минут

Так просто! Спасибо! Диспечер задач появился!
Осталось выципить парольот mail.ru и можно жить!

**AndreyKa** · 26.08.2009, 13:01

Пожалуйста.

Сообщение от Jane_V

пароля от почты я не знаю, в названии темы об этом даже написано!

Там написано, что ваш пароль украли, то, что его сменили, не написано.

**Jane_V** · 26.08.2009, 16:40

Там все сложнее, почта действительно была взломана, были изменены некоторые мои анкетные данные, один раз я пароль получила, тут же сменила, отключила авто входы в почту и агент и через час уже сама не смогла попасть в почту, хотя агент работает

Это конечно лирика, но на этот почтовый ящик инфа по работе приходит

А как себя чувствует моя система? Уже все можно наставлять антивирусняков и наедятся, что они справятся?

**AndreyKa** · 26.08.2009, 16:57

Сообщение от Jane_V

Уже все можно наставлять антивирусняков и наедятся, что они справятся?

"Наставлять" нужно и надеятся можно. Только, они не справятся пока не будут устранены уязвимости в Windows и в Adobe Acrobat .

**Jane_V** · 26.08.2009, 22:50

Мда, а какие там уязвимости? Что-то я видать пропустила! Как чинить?

Компьютер после вирусной атаки, началось с кражи пароля от mail.ru (заявка № 52685)

Опции темы

Компьютер после вирусной атаки, началось с кражи пароля от mail.ru

Похожие темы

после вирусной атаки

После вирусной атаки

Проблемы после вирусной атаки

После вирусной атаки

После вирусной атаки.

Метки для этой темы

Ваши права в разделе