Показано с 1 по 17 из 17.

Прошу помощи (заявка № 75625)

  1. #1
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63

    Thumbs up Прошу помощи

    Добрый день! Возникла такая проблема с 2 машинами:
    При загрузке пользовательского профиля Dr.Web начинал ругаться на зараженные объекты во временных файлах IE (хотя я им не пользуюсь и темпы чистые) затем находит зараженные объекты просто в папке TEMP, все удаляет, переходим в папку \Temporary Internet Files и видим странные ссылки на внешние адреса: hxxp://188.165.155.82/alicia/ hxxp://91.212.135.12/
    Dr.Web при сканировании в безопасном режиме зависает при проверке папки C:\WINDOWS\system32\drivers
    Такое подозрение, что занесли с флешки эту гадость, теперь при подключении USB-накопителя идет слишком долго инициализация устройства, а затем в корне даже чистой флешки создается Autorun.inf файл. Странно, пользователи работают с ограниченными учетками Помогите разобраться, необходимые логи прикрепил.
    Последний раз редактировалось Rene-gad; 08.04.2010 в 11:42. Причина: ссылки убиты

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\documents and settings\Банник\application data\microsoft\cadoojujoos.exe');
    TerminateProcessByName('c:\docume~1\422e~1\locals~1\temp\46902.exe');
     TerminateProcessByName('c:\docume~1\422e~1\locals~1\temp\4811974 .exe');
     TerminateProcessByName('c:\docume~1\422e~1\locals~1\temp\vwj1.tmp');
     TerminateProcessByName('c:\documents and settings\Банник\application data\microsoft\fuminug.exe');
     TerminateProcessByName('c:\docume~1\422e~1\locals~1\temp\344.exe');
    QuarantineFile('C:\Documents and Settings\Банник\Application Data\ahrg.exe,explorer.exe,C:\Documents and Set-tings\Банник\csrss.exe','');
     QuarantineFile('C:\Documents and Settings\Банник\Application Data\Microsoft\cadoojujoos.exe','');
    QuarantineFile('c:\docume~1\422e~1\locals~1\temp\vwj1.tmp','');
     QuarantineFile('c:\documents and settings\Банник\application data\microsoft\fuminug.exe','');
     QuarantineFile('c:\docume~1\422e~1\locals~1\temp\344.exe','');
     QuarantineFile('c:\docume~1\422e~1\locals~1\temp\4811974 .exe','');
     QuarantineFile('c:\docume~1\422e~1\locals~1\temp\46902.exe','');
     DeleteFile('c:\docume~1\422e~1\locals~1\temp\344.exe');
     DeleteFile('c:\documents and settings\Банник\application data\microsoft\fuminug.exe');
     DeleteFile('c:\docume~1\422e~1\locals~1\temp\vwj1.tmp');
     DeleteFile('C:\Documents and Settings\Банник\Application Data\Microsoft\cadoojujoos.exe');
     DeleteFile('C:\Documents and Settings\Банник\Application Data\ahrg.exe,explorer.exe,C:\Documents and Settings\Банник\csrss.exe');
     DeleteFile('c:\docume~1\422e~1\locals~1\temp\46902.exe');
     DeleteFile('c:\docume~1\422e~1\locals~1\temp\4811974 .exe');
     DeleteFile('c:\documents and settings\Банник\application data\microsoft\cadoojujoos.exe');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1004336348-1965331169-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run','gypou');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Последний раз редактировалось thyrex; 08.04.2010 в 12:37.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63
    Скрипт выполнил, логи повторил, карантин выслал

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пролечитесь так http://virusinfo.info/showpost.php?p=306441&postcount=2

    После лечения - новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63
    сделал так как Вы посоветовали, запустить систему с загрузочного диска Dr.Web не удалось, не был найден соответствующий драйвер под железо, система наглухо зависла Использовал стандартный LiveXP отсканировал систему CureIt, ничего не нашел. Загрузился в обычном режиме, опять начал выскакивать сторож доктора и ругаться на зараженные объекты. Даже не знаю что делать, повторно логи снял. Может загрузится с LiveXP и снять AVZ логи таким образом? Заранее огромное спасибо!

  7. #6
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63
    Удалось загрузится в безопасном режиме с miniDr.WebLiveCD без графического интерфейса. Проверил машину, также ничего не нашел

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63
    Сделал.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Проблемы остались?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог какой-то неправильный. Переделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63
    Лог переделал

  13. #12
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63
    PavelA, визуально нет, вэб вроде перестал ругаться, приду домой попробую вставить чистую флешку. Логи повторять не надо?

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите ComboFix

    Установите Internet Explorer 8

    Больше логов не нужно
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63
    thyrex, Сделал все по инструкции, правда удалился сам драйвер виртуального привода. Сама программа alcohol осталась. Нужно ее переустановить переустановить?

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от paskual Посмотреть сообщение
    Сама программа alcohol осталась. Нужно ее переустановить переустановить?
    Если программа Вам нужна, переустанавливайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    30.12.2006
    Адрес
    Киев
    Сообщений
    55
    Вес репутации
    63
    Понял, спасибо!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\банник\application data\microsoft\cadoojujoos.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Siggen1.19100, AVAST4: Win32:Crypt-GCF [Trj] )
      2. c:\docume~1\422e~1\locals~1\temp\vwj1.tmp - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Siggen1.19100, AVAST4: Win32:Crypt-GCF [Trj] )
      3. c:\docume~1\422e~1\locals~1\temp\344.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Agent.APEJ, AVAST4: Win32:Crypt-GCF [Trj] )


  • Уважаемый(ая) paskual, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Прошу помощи..
      От Mellos в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.12.2010, 00:34
    2. Прошу помощи.
      От Ivan_Taranov в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.04.2010, 22:48
    3. прошу помощи
      От trg в разделе Помогите!
      Ответов: 50
      Последнее сообщение: 22.02.2009, 04:34
    4. прошу помощи 2
      От RIP в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.03.2008, 17:26
    5. Прошу помощи
      От rosalin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.03.2008, 18:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00544 seconds with 17 queries