Показано с 1 по 10 из 10.

Зараженный WinXP (заявка № 99534)

  1. #1
    Junior Member Репутация
    Регистрация
    08.02.2010
    Адрес
    Тюмень
    Сообщений
    14
    Вес репутации
    29

    Exclamation Зараженный WinXP

    Здравствуйте.

    Заражен winXP. Компьютер рабочий, очень нужен для составления бух. отчета.

    На данный момент выполнены:
    1. Полная проверка в безопасном режиме с помощью AVPTool.
    2. AVZ: "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info".
    3. AVZ: "Скрипт сбора информации для раздела "Помогите!" virusinfo.info".
    4. HijackThis: сканирование системы.

    PS:
    -установленный антивирус AVAST FREE Antivirus.
    -существует только одна учетная запись, поэтому сканирование производилось из под неё.
    Windows 7 Ultimate

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте.
    Отключите:
    -ПК от интернета
    -Все защитные приложения
    Подключите:
    -Диск F:\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    TerminateProcessByName('c:\windows\system32\ctfms.exe');
    TerminateProcessByName('c:\windows\csrsm.exe');
    QuarantineFile('F:\autorun.inf','');
    QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
    QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
    QuarantineFile('C:\WINDOWS\wjdrive32.exe','');
    QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
    QuarantineFile('c:\windows\system32\ctfms.exe','');
    QuarantineFile('c:\windows\csrsm.exe','');
    DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
    DeleteFile('c:\windows\csrsm.exe');
    DeleteFile('c:\windows\system32\ctfms.exe');
    DeleteFile('C:\WINDOWS\wjdrive32.exe');
    DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
    DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
    DeleteFile('F:\autorun.inf');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ctfms');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wors');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.
    А ещё сделайте лог MBAM.

  4. #3
    Junior Member Репутация
    Регистрация
    08.02.2010
    Адрес
    Тюмень
    Сообщений
    14
    Вес репутации
    29
    Новые логи. mbam еще сканирует.

    PS: во время сканирования mbam, аваст тоже реагировал на зараженные фаилы (zpp[1].exe, autorun.inf и assetup.exe), помещая их в карантин.

    Скажите пожалуйста, mbam долго сканирует? (дольше чем AVPTool?)
    Последний раз редактировалось biatob; 20.03.2011 в 13:23.
    Windows 7 Ultimate

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от biatob Посмотреть сообщение
    Скажите пожалуйста, mbam долго сканирует? (дольше чем AVPTool?)
    Дольше. Ждем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    08.02.2010
    Адрес
    Тюмень
    Сообщений
    14
    Вес репутации
    29
    Во время сканировния МБАМ-ом к компьютеру была подключена еще одна флешка (необходимость).
    Windows 7 Ultimate

  7. #6
    Junior Member Репутация
    Регистрация
    08.02.2010
    Адрес
    Тюмень
    Сообщений
    14
    Вес репутации
    29
    Отчет мбам-а.

    Возможно будет полезным:
    -время сканирования АВПТул - 13+ часов, время сканирования мбам - пара часов.

    -на подключенную флешку ничего плохого (вроде) не добавилось.

    -пропала языковая панель (язык не меняется).
    -что делать с найдеными мбамом объектами? Все удалить?
    Последний раз редактировалось biatob; 20.03.2011 в 15:58.
    Windows 7 Ultimate

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Цитата Сообщение от biatob Посмотреть сообщение
    -что делать с найдеными мбамом объектами? Все удалить?
    Сейчас узнаете.
    Удалите в MBAM только указанные строки:
    Код:
    Заражённые папки:
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\asetup.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\zs\local settings\temporary internet files\content.ie5\usbzdhqa\zpp[1].exe (Trojan.Downloader) -> No action taken.
    c:\temp\csm8e3.tmp (Adware.RelevantKnowledge) -> No action taken.
    c:\temp\csm9a0.tmp (Adware.RelevantKnowledge) -> No action taken.
    f:\recycler\r-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe (Trojan.Downloader) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    Сделайте повторный лог MBAM.

  9. #8
    Junior Member Репутация
    Регистрация
    08.02.2010
    Адрес
    Тюмень
    Сообщений
    14
    Вес репутации
    29
    После удаления всех найденых мбамом объектов и перезагрузки ПК:
    -ошибок после подключения к инету нет.
    -языковая панель включилась, раскладка меняется.
    -прочих признаков заражения не вижу.

    Жду анализа логов.

    Добавлено через 9 минут

    Хорошо, сейчас сделаю...ой как же я поторопился. ((

    Я уже удалил все найденные объекты =( Что делать? Снова делать полное сканировование?


    PS: если выложу логи сегодня, проанализируете? или можно спокойно домой идти, а завтра продолжим? (сейчас 19 часов)
    Последний раз редактировалось biatob; 20.03.2011 в 17:15. Причина: Добавлено
    Windows 7 Ultimate

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Что с проблемой?
    Установите:
    -Internet Explorer 8
    Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz.log. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
    Цитата Сообщение от biatob Посмотреть сообщение
    что значит удалить в мбам следующие строки?
    Нужно запустить полное сканирование MBAM и по окончанию сканирования удалить только те объекты, которые указаны в рамочке.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - Backdoor.Win32.Floder.at ( DrWEB: Win32.HLLW.Autoruner.55687, BitDefender: Trojan.Generic.KD.161363, AVAST4: Win32:Downloader-NUE [Trj] )
      2. c:\\windows\\csrsm.exe - Backdoor.Win32.Kbot.bap ( DrWEB: BackDoor.Siggen.28466, BitDefender: Backdoor.Generic.620305, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) biatob, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зараженный комп
      От Whale в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 23.01.2010, 21:41
    2. Зараженный сайт
      От Morriss в разделе Общая сетевая безопасность
      Ответов: 4
      Последнее сообщение: 16.12.2009, 23:44
    3. СМС и зараженный svchost.exe
      От Подполковник в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.11.2009, 17:08
    4. Зараженный комп
      От Alex L в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.09.2008, 08:09
    5. Зараженный хард
      От fotorama в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 25.01.2008, 17:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00646 seconds with 16 queries