Показано с 1 по 13 из 13.

Провайдер отключил Интернет "за спам" (заявка № 84701)

  1. #1
    Junior Member Репутация
    Регистрация
    07.11.2009
    Адрес
    St.-Petersburg, RF
    Сообщений
    22
    Вес репутации
    53

    Exclamation Провайдер отключил Интернет "за спам"

    Высылаю логи с компьютера, который использует для выхода в Интернет рсшаренный ADSL-модем на другом компьютере, но, судя по тому, как он последнее время "тормозит"... с ним тоже не все в порядке.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\ponnol.exe');
     QuarantineFile('C:\WINDOWS\system32\vouhu.exe','');      
     QuarantineFile('C:\WINDOWS\system32\hojygouj.exe','');             
     QuarantineFile('c:\windows\system32\ponnol.exe','');
     QuarantineFile('C:\Documents and Settings\penguin\Application Data\ozzfhv.exe','');
     DeleteFile('C:\Documents and Settings\penguin\Application Data\ozzfhv.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  4. #3
    Junior Member Репутация
    Регистрация
    07.11.2009
    Адрес
    St.-Petersburg, RF
    Сообщений
    22
    Вес репутации
    53
    Скрипты выполнены.
    Карантин отправлен.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\ponnol.exe');   
     DeleteFile('C:\WINDOWS\system32\vouhu.exe');   
     DeleteFile('C:\WINDOWS\system32\hojygouj.exe');       
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите логи АВЗ + сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    07.11.2009
    Адрес
    St.-Petersburg, RF
    Сообщений
    22
    Вес репутации
    53
    Скрипт выполнил.
    Логи прилагаю

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в MBAM

    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\penguin\Local Settings\Temp\795.exe (Trojan.Downloader) -> No action taken.
    C:\Documents and Settings\penguin\msgvn.exe (Trojan.Downloader) -> No action taken.
    C:\Documents and Settings\penguin\Local Settings\Temporary Internet Files\Content.IE5\8TKNCR8Z\loader[1].exe (Trojan.Downloader) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> No action taken.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\Documents and Settings\penguin\Local Settings\Temp\utt685.tmp.exe (Trojan.Pakes) -> No action taken.
    C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys','');   
     QuarantineFile('C:\WINDOWS\system32\Drivers\ntndis.sys','');  
     QuarantineFile('C:\Documents and Settings\penguin\msgvn.exe','');
     QuarantineFile('C:\WINDOWS\system32\quizabonnaqu.exe','');
     QuarantineFile('C:\WINDOWS\system32\zoocou.exe','');
     QuarantineFile('C:\WINDOWS\nVGA_i2c.dll','');
     DeleteFile('C:\Documents and Settings\penguin\msgvn.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите те же логи.

  8. #7
    Junior Member Репутация
    Регистрация
    07.11.2009
    Адрес
    St.-Petersburg, RF
    Сообщений
    22
    Вес репутации
    53
    Исполнил...

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в MBAM -

    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\reklosoft_adw.helper_bar (Trojan.Kerlofost) -> No action taken.
    HKEY_CLASSES_ROOT\rs_adw.helper_bar.1 (Trojan.Kerlofost) -> No action taken.
    HKEY_CLASSES_ROOT\rs_adw.helper_bho (Trojan.Kerlofost) -> No action taken.
    HKEY_CLASSES_ROOT\rs_adw.helper_bho.1 (Trojan.Kerlofost) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{e743cf05-181c-4d72-b4ee-95435ed4b86b} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{f1287389-b2fe-4315-8484-540b2033646d} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\AppID\{d96fa298-1bb6-47fc-ad21-72781b744dc3} (Adware.Reklosoft) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{2552632f-867d-4052-b836-7f83a5302534} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
    HKEY_CLASSES_ROOT\AppID\rs_adw.DLL (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.

    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Documents and Settings\penguin\msgvn.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите лог virusinfo_syscure.zip

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\penguin\msgvn.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     QuarantineFile('C:\WINDOWS\system32\zoocou.exe','');
     QuarantineFile('C:\WINDOWS\system32\quizabonnaqu.exe','');
     DeleteService('d2yuaopatxaos87');
     BC_DeleteFile('C:\WINDOWS\system32\quizabonnaqu.exe');
     DeleteFile('C:\WINDOWS\system32\zoocou.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\NDIS.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин на проверку.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    07.11.2009
    Адрес
    St.-Petersburg, RF
    Сообщений
    22
    Вес репутации
    53
    Исполнение последнего скрипта закончилось
    полной "изоляцией" компьютера:
    Все сетевые устройства (Сntrol panel->System->Hardware->Device Manager-> Network adapters) "лишились драйверов" (см. скриншот, переустановка не проходит), раздел Netware Connections - пуст, USB-флешки не читает и предлагает переразметить.

    HELP!!!!

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - восстановите файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А также скачайте файл во вложении, распакуйте и внесите информацию в реестр двойным кликом левой кнопки мыши
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 34
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\penguin\application data\ozzfhv.exe - Trojan.Win32.Pincav.adrl ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DO [Trj] )
      2. c:\documents and settings\penguin\msgvn.exe - P2P-Worm.Win32.Palevo.atba ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Win32.Worm.Rimecud.Y, AVAST4: Win32:Fitmu-B [Spy] )
      3. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.B virus, AVAST4: Win32:Malware-gen )
      4. c:\windows\system32\hojygouj.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Warezov-MF [Wrm] )
      5. c:\windows\system32\vouhu.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Warezov-MF [Wrm] )


  • Уважаемый(ая) AYB, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 08.08.2010, 09:34
    2. Ответов: 2
      Последнее сообщение: 06.08.2010, 13:46
    3. Ответов: 0
      Последнее сообщение: 08.04.2006, 22:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00526 seconds with 17 queries