Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Атаки при подключении сети (заявка № 92989)

  1. #1
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31

    Атаки при подключении сети

    avast 5 free пишет что заблокировал ip xxxxx... (постоянно разные)
    через файл svchost.exe

    drweb нашел только Trojan.Spambot.9106
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\docume~1\ПОЛЬЗО~1\locals~1\temp\48807.exe');
     TerminateProcessByName('c:\windows\cwdrive32.exe');
     QuarantineFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\48807.exe','');
     QuarantineFile('c:\docume~1\ПОЛЬЗО~1\locals~1\temp\48807.exe','');
     QuarantineFile('C:\Documents and Settings\пользователь\Application Data\ltzqai.exe','');
     QuarantineFile('C:\WINDOWS\system32\05.exe','');
     QuarantineFile('C:\WINDOWS\system32\37.exe','');
     QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
     DeleteFile('C:\WINDOWS\cwdrive32.exe');
     DeleteFile('C:\WINDOWS\system32\37.exe');
     DeleteFile('C:\WINDOWS\system32\05.exe');
     DeleteFile('C:\Documents and Settings\пользователь\Application Data\ltzqai.exe');
     DeleteFile('c:\docume~1\ПОЛЬЗО~1\locals~1\temp\48807.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced EHTAL Enable');
     DeleteFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\48807.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Прокси сами прописывали? -
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.2.17.122:8080
    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    proxy ставил сам

    нужны

    Добавлено через 11 минут

    Файл сохранён как 101205_165052_quarantine_4cfb98bc9f793.zip
    Размер файла 215923
    MD5 30e76d2e973c9bdaf02c7b09db988358
    Последний раз редактировалось Gena_Solovev; 05.12.2010 в 16:51. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    Что скажите?

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    В логах зверей нет. Они ушли?

  8. #7
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    Скорей всего.
    Спасибо!

    P.S.: Где посмотреть на зверей которые были?

    Добавлено через 1 час 23 минуты

    ТЕМУ НЕ ЗАКРЫВАЙТЕ!!!
    ПОШЛИ ОПЯТЬ АЛЕРТЫ ОБ АТАКЕ!
    Последний раз редактировалось Gena_Solovev; 06.12.2010 в 06:43. Причина: Добавлено

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Повторите логи АВЗ + сделайте лог полного сканирования МВАМ

    Предепреждаю сразу - то, что Вы наловили так просто не уходит, надо обновлять систему.

  10. #9
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    новые логи

  11. #10
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    MBAM

  12. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Удалите в МВАМ

    Код:
    Заражённые процессы в памяти:
    c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> 1760 -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSODESNV7 (Backdoor.Bot) -> Value: MSODESNV7 -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-1664465399-2100770680-412220900-4913\syscr.exe,explorer.exe,C:\Documents and Settings\пользователь\Application Data\ltzqai.exe,Explorer.exe) Good: (Explorer.exe) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\пользователь\local settings\temporary internet files\Content.IE5\QHIBI8E5\calculations[1].ci (Backdoor.Bot) -> No action taken.
    c:\documents and settings\пользователь\application data\avdrn.dat (Malware.Trace) -> No action taken.
    c:\documents and settings\пользователь\application data\ltzqai.exe (Worm.Palevo) -> No action taken.
    c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
    - Повторите лог МВАМ

  13. #12
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    закрыл случайно MBAM
    вот новый лог
    посмотрите быстрее!

  14. #13
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    ну... что?

  15. #14
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    вот новый лог
    почему-то опять появляется(

  16. #15
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Тогда нужно сделать лог ComboFix

  17. #16
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31

    Smile

    вот лог Комбофикс

  18. #17
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    После того, как Комбо прошёлся, звери возвращаются?

  19. #18
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    авз показывает подмен диспечера задач
    а остальное вроде норм
    (только слетел ctfrom.exe)

  20. #19
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    - Сделайте новый лог virusinfo_syscheck.zip

    - Сделайте лог ComboFix

    Цитата Сообщение от Gena_Solovev Посмотреть сообщение
    (только слетел ctfrom.exe)
    Должен восстановиться, после удаления КомбоФикса

  21. #20
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    31
    Стало появлятся после загрузки Мои Документы
    И предупреждение что брандмауэр выкл
    хотя он вкл

  • Уважаемый(ая) Gena_Solovev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Комп задумывается при подключении к сети
      От ZamUtil в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 01.06.2010, 22:49
    2. Ответов: 8
      Последнее сообщение: 15.10.2009, 22:48
    3. Ответов: 1
      Последнее сообщение: 20.01.2009, 22:03
    4. Ответов: 3
      Последнее сообщение: 23.06.2008, 12:07
    5. Синий экран при подключении к сети.
      От St_r_Anger в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.06.2008, 11:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00243 seconds with 17 queries