-
Junior Member
- Вес репутации
- 53
Я БОТ !!!
Остается добавить "НЯ" к названию и станет понятен стиль моего общения с компьютером...Были две темы от меня-NSSM и NHL,первую вроде вылечили(хотя до конца ли,непонятно),со второй сделать ничего не смогли-пришлось откатываться...Прошло дней пять и началось-"Обнаружено Троянская программа Trojan-Downloader.BAT.Ftp.ab. Kaspersky Internet Security.Файл C:\WINDOWS\system32\eq"-такие вот сообщения по 20 раз на дню...А еще последние два дня такое:"Запрещено: Использование программных интерфейсов системы (DNS) C:\WINDOWS\ SYSTEM32.EXE C:\WINDOWS\system32.exe Использование службы кэширования DNS запросов для преобразования tbt.mytijn.org" около 50000(пятидесяти тысяч) раз.Правда я это остановил каким-то скриптом из интернета(скрипт могу показать)...А еще DrWEB CUREIT таки нашел и грохнул:
"С:\WINDOWS\system32\nhl.exe инфицирован BackDoor.IRC.Sdbot.12924",а ничего не изменилось...Меня используют!!!Помогите!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 53
Файл сохранён как 100609_224129_virusinfo_files_879EC37AEA394C9_4c0f e0593217d.zip
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\windows\system32.exe');
DeleteFile('C:\WINDOWS\system32\winsys2.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32.dll');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('=.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
А с найденым в Malware что делать то?
Добавлено через 6 минут
Да и,кстати,никак не хотят устанавливаться два обновления ".NET Framework 3.5",винда их уж пятый раз сегодня устанавливает,потом пишет,что все ОК,потом опять предлагает их же...
Последний раз редактировалось ALEXANDER71; 10.06.2010 в 00:57.
Причина: Добавлено
-
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 53
-
-
-
Junior Member
- Вес репутации
- 53
Странно на рабочем столе появился еще один значек IE,причем на одном из них стрелочка(типа ярлык для IE)???
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\nhl.exe','');
DeleteFile('c:\windows\system32\nhl.exe');
QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-47b47df4-n\msvcp71.dll','');
QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-47b47df4-n\jmc.dll','');
QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2bb1b491-n\decora-sse.dll','');
QuarantineFile('c:\documents and settings\пользователь\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2bb1b491-n\decora-d3d.dll','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 53
Файл сохранён как 100610_225534_quarantine_4c113526ae1bd.zip
Размер файла 683544
MD 5ee9130b937718bfbc77f304dc06e45ad
-
Удалите ComboFix
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
polword, Вроде тишина,nhl.exe из папки system32 исчез,Reg Organizer показал,что тоже чисто.Давайте подождем до завтра(ночью не выключаюсь)...В любом случае спасибо за помощь!...А интересная утилита OTC-грохнула даже резервный файл ComboFixа и его отчет на другом диске...
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
polword
обновите систему
Вы имеете в виду полную переустановку???????? (Кстати,он вернулся-"11.06.2010 2:05:35 Удалено Троянская программа Trojan-Downloader.BAT.Ftp.ab C:\WINDOWS\system32\ ftp.exe ftp -n -s:eq C:\WINDOWS\system32\eq ".)
-
обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Добавлено через 2 минуты
после обновления сделайте комплект логов еще раз
Последний раз редактировалось polword; 11.06.2010 в 11:33.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
IE8 установил еще вчера,все обновил.А какие нужны логи?Сделал те,которые из правила.
-
-
-
Junior Member
- Вес репутации
- 53
Да и Касперский пока молчит,кроме того утреннего...Подождем что-ли до завтра!