Показано с 1 по 13 из 13.

Логи после удаления троянцев (заявка № 87815)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2009
    Сообщений
    267
    Вес репутации
    34

    Done Логи после удаления троянцев

    Логи после лечения системы, осталось странное поведение.
    Последний раз редактировалось tehnik34; 05.10.2010 в 14:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F3 - REG:win.ini: run=C:\WINDOWS\system32\ibvthfj.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteService('dfumwslm');
     DeleteService('protectq');
     DeleteService('protect');
     DeleteService('iwmnewslqdo');
     QuarantineFile('C:\WINDOWS\System32\Drivers\dfumwslm.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\protectq.sys','');
     QuarantineFile('C:\DOCUME~1\ALLA\LOCALS~1\Temp\niudkczmbef.sys','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\cbss.dll','');
     QuarantineFile('C:\Documents and Settings\ALLA\fvg.exe','');
     QuarantineFile('C:\Documents and Settings\ALLA\Application Data\pard.exe','');
     QuarantineFile('C:\WINDOWS\system32\gidoukeziv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ibvthfj.exe','');
     QuarantineFile('C:\WINDOWS\system32\jelou.exe','');
     QuarantineFile('C:\WINDOWS\system32\mittygy.exe','');
     QuarantineFile('C:\WINDOWS\system32\woottizenul.exe','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('C:\WINDOWS\system32\woottizenul.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','toukoozoo');
     DeleteFile('C:\WINDOWS\system32\mittygy.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','quejimmu');
     DeleteFile('C:\WINDOWS\system32\jelou.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','loonoomus');
     DeleteFile('C:\WINDOWS\system32\ibvthfj.exe');
     DeleteFile('C:\WINDOWS\system32\gidoukeziv.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','henarob');
     DeleteFile('C:\Documents and Settings\ALLA\Application Data\pard.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\cbss.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg','DLLName');
     DeleteFile('C:\DOCUME~1\ALLA\LOCALS~1\Temp\niudkczmbef.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\protectq.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\dfumwslm.sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_DeleteSvc('iwmnewslqdo');
     BC_DeleteSvc('protectq');
     BC_DeleteSvc('dfumwslm');
     BC_DeleteSvc('protect');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     ExecuteRepair(17);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    18.02.2009
    Сообщений
    267
    Вес репутации
    34
    Файл сохранён как 100914_094918_quarantine_4c8f0cde6c34c.zip
    Размер файла 47137
    MD5 512caec562ef04efc4f3f4e6403386cf

  5. #4
    Junior Member Репутация
    Регистрация
    18.02.2009
    Сообщений
    267
    Вес репутации
    34
    Логи
    Последний раз редактировалось tehnik34; 05.10.2010 в 14:30.

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\zousup.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\e.dll','');
     DeleteFile('C:\WINDOWS\services.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
     DeleteFile('C:\Documents and Settings\ALLA\fvg.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');   
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  7. #6
    Junior Member Репутация
    Регистрация
    18.02.2009
    Сообщений
    267
    Вес репутации
    34
    Файл сохранён как 100914_104444_quarantine2_4c8f19dc723c4.zip
    Размер файла 1708
    MD5 f29f72b8b7ced3f28fed83e915e14e7a

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,410
    Вес репутации
    1268
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\e.dll
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteService('mxyusno6aqb8aaoa');
     DeleteFile('C:\WINDOWS\system32\zousup.exe');      
     DeleteFile('C:\WINDOWS\system32\e.dll');  
     BC_DeleteSvc('mxyusno6aqb8aaoa');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  9. #8
    Junior Member Репутация
    Регистрация
    18.02.2009
    Сообщений
    267
    Вес репутации
    34
    Файл сохранён как 100914_121604_quarantine_4c8f2f448be0e.zip
    Размер файла 1708
    MD5 e7759bacf657a80281ce5540dc5d5434

  10. #9
    Junior Member Репутация
    Регистрация
    18.02.2009
    Сообщений
    267
    Вес репутации
    34
    Логи
    Последний раз редактировалось tehnik34; 05.10.2010 в 14:30.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O20 - Winlogon Notify: cbssreg - Invalid registry found
    Перезагрузите компьютер и повторите лог HijackThis.
    Сообщите, какие проблемы остались?
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    18.02.2009
    Сообщений
    267
    Вес репутации
    34
    Выполнил, проблем не видно.
    Последний раз редактировалось tehnik34; 05.10.2010 в 14:30.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Чисто.
    I am not young enough to know everything...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 40
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:MalOb-IJ [Cryp] )


  • Уважаемый(ая) tehnik34, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Логи после удаления блокировщика
      От tehnik34 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.02.2012, 15:18
    2. логи после удаления баннера
      От 123pavel в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.12.2011, 00:50
    3. логи после удаления вирусов
      От juls в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.11.2011, 09:11
    4. Ответов: 1
      Последнее сообщение: 04.01.2011, 02:26
    5. Логи после удаления зловредов
      От tehnik34 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.09.2010, 13:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00142 seconds with 16 queries