Показано с 1 по 10 из 10.

Подозрение на вредоносное ПО (заявка № 91743)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    32
    Вес репутации
    60

    Подозрение на вредоносное ПО

    Здравствуйте!
    ОС XP SP3
    ПК используется, как шлюз, установлено:
    Kerio Winroute Firewall
    Плагин visnetic, который использует базы касперского
    Radmin

    После загрузки ОС, система сильно зависает, браузер IE выдает каждый раз ошибку при запуске, что изменена служба поиска, перестали открываться многие сайты, в том числе virusinfo.

    Проверьте логи пожалуйста...


    С уважением, Дмитрий.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\progra~1\common~1\vavsha~1\vavcom.exe');
     QuarantineFile('c:\progra~1\common~1\vavsha~1\vavcom.exe','');
     QuarantineFile('C:\WINDOWS\system32\bspxqmz.exe','');
     QuarantineFile('C:\WINDOWS\system32\nzmzezu.exe','');
     DeleteFile('C:\WINDOWS\system32\nzmzezu.exe');
     DeleteFile('C:\WINDOWS\system32\bspxqmz.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(20);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Прокси сами прописывали? -
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.70.40.102:808
    - Эти DNS Вам знакомы? - O17 - HKLM\System\CCS\Services\Tcpip\..\{077E00B1-7FA3-4528-8112-8DAC48B524CA}: NameServer = 217.20.80.40,85.255.112.99,217.20.82.4

  4. #3
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    32
    Вес репутации
    60
    - Прокси сами прописывали? -
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.70.40.102:808
    - Эти DNS Вам знакомы? - O17 - HKLM\System\CCS\Services\Tcpip\..\{077E00B1-7FA3-4528-8112-8DAC48B524CA}: NameServer = 217.20.80.40,85.255.112.99,217.20.82.4[/QUOTE]

    Карантин отправил.
    DNS знакомы, сам прописывал...
    А вот прокси не трогал...

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    32
    Вес репутации
    60
    Цитата Сообщение от Olejah Посмотреть сообщение
    Повторите логи
    логи

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Пофиксите в hijackthis -

    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.70.40.102:808
    - Что с проблемой?

  8. #7
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    32
    Вес репутации
    60
    Цитата Сообщение от Olejah Посмотреть сообщение
    Пофиксите в hijackthis -

    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 119.70.40.102:808
    - Что с проблемой?
    Большое спасибо! Проблем вроде по первым признакам нет, войти на те сайты на которые раньше не мог, вхожу. ОС перестала тормозить, так как это было до лечения, браузер при запуске ошибок не выдает. Все ОК!

    Спасибо еще раз,
    С уважением, Дмитрий.

    Добавлено через 43 минуты

    если не затруднит не подскажете в чем была проблема? Что послужило причиной?
    Последний раз редактировалось dddimmm; 15.11.2010 в 14:59. Причина: Добавлено

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Проблема была в бэкдоре, который прописался в userinit. Я настоятельно рекомендую сменить все имеющиеся пароли.

  10. #9
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    32
    Вес репутации
    60
    Цитата Сообщение от Olejah Посмотреть сообщение
    Проблема была в бэкдоре, который прописался в userinit. Я настоятельно рекомендую сменить все имеющиеся пароли.
    спасибо, так и сделаю!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\nzmzezu.exe - Backdoor.Win32.Shiz.aui ( DrWEB: BackDoor.Tdss.4631, BitDefender: Trojan.Generic.KDV.82527, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) dddimmm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подозрение на вредоносное ПО
      От Listener в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.02.2012, 09:40
    2. Подозрение на вредоносное вторжение
      От PEAHEMATOP в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.09.2011, 19:07
    3. Подозрение на вредоносное ПО
      От GRomaN в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 23.10.2009, 17:33
    4. Ответов: 5
      Последнее сообщение: 20.10.2009, 23:25
    5. Подозрение на вредоносное ПО
      От Andruxa87 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.07.2009, 15:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01295 seconds with 19 queries