Перейти к содержанию

Проверьте логи плиз... блокируются сайты..


SEcrash63

Рекомендуемые сообщения

НЕдавно хотел зайти в контакт.. а он мне выдает введите номер телефона(пройдите валидацию)... ввожу.. пишет ваш телефон не поддерживается... думал что-то у них.. попробывал зайти в однокласники -такаяже фигня... на другом компе со своих учеток легко захожу.. окрыл хайджек, обнаружил следующие строчки

Раскрывающийся текст:

O1 - Hosts: 193.218.156.153 www.vkontakte.ru

O1 - Hosts: 193.218.156.153 www.vk.com

O1 - Hosts: 193.218.156.153 vkontakte.ru

O1 - Hosts: 193.218.156.153 vk.com

O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru

O1 - Hosts: 193.218.156.153 odnoklassniki.ru

 

 

профиксил. вроде заработало... перезагрузился.... такаяже фигня.. эи строчки снова появились.. и посли их фикса теперь всеравно не открываются сайты эти...

 

да и файл хост пустой почемуто....нет никаких левых строчек в нем.

 

upd//

незаметил вес файла хост... 150 кб... там все вразноброс записано (40 левых записей) hosts.rar

 

 

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено пользователем SEcrash63
Ссылка на комментарий
Поделиться на другие сайты

Ваш зловред:

http://www.virustotal.com/file-scan/report...13b4-1308333890

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\admin\application data\lsass.exe');
QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Downloads\Programs\AMMYY_Admin.exe','');
QuarantineFile('C:\webserwers\denwer\Boot.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\eTSCFLT.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\gtscser.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\archlp.sys','');
QuarantineFile('c:\documents and settings\admin\application data\lsass.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe
O1 - Hosts: 193.218.156.153 www.vkontakte.ru
O1 - Hosts: 193.218.156.153 www.vk.com
O1 - Hosts: 193.218.156.153 vkontakte.ru
O1 - Hosts: 193.218.156.153 vk.com
O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.153 odnoklassniki.ru
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User '?')
O4 - HKUS\S-1-5-21-2000478354-527237240-1547161642-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User '?')
O4 - S-1-5-21-2000478354-527237240-1547161642-500 Startup: Create virtual drive for Denwer.lnk = C:\webserwers\denwer\Boot.exe (User '?')
O4 - S-1-5-21-2000478354-527237240-1547161642-500 Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe (User '?')

 

AMMYY Admin деинсталлировали? если да - пофиксите:

O23 - Service: Ammyy Admin (AmmyyAdmin) - Unknown owner - C:\Documents and Settings\Admin\Мои документы\Downloads\Programs\AMMYY_Admin.exe (file missing)

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

 

Антивирус используете?

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Malwarebytes' Anti-Malware cкачать сейчас нет возможности.. вредонос не давал выполнить скрипт авз.. окно скрипта попросту закрывалось.. пришлось сначала удалить вручную и останавливать процесс... теперь все работает.. спасибо..

Ссылка на комментарий
Поделиться на другие сайты

SEcrash63,

не игнорируем:

Сделайте новые логи по правилам.

 

Антивирус используете?

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

SEcrash63,

не игнорируем:

сейчас нет интернета нормального.. завтра буду дома... сккачаю её и сделаю проверку)

 

вот новые логи

hijackthis.log

mbam_log_2011_06_19__20_44_32_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Удалите в MBAM:

Заражённые файлы:

c:\documents and settings\Admin\local settings\Temp\jar_cache1661687449755677711.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache1906831816634729848.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache3959686325614060357.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache6489173644372328424.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache7354079503986714013.tmp (Trojan.Agent) -> No action taken.
c:\program files\Opera\0.949882706786626.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken.
c:\дистрибут\против вирусов\avz4\avz4\quarantine\2011-06-19\avz00001.dta (Malware.Packer.Gen) -> No action taken.
c:\дистрибут\против вирусов\avz4\avz4\quarantine\2011-06-19\avz00003.dta (PUP.PasswordView) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.16605680473897944.exe (Exploit.Drop.2) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.20265419165261167.exe (Exploit.Drop.2) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.7558500271428972.exe (Exploit.Drop.2) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9048252163094631.exe (Exploit.Drop.2) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Эти файлы проверьте на virustotal.com

c:\documents and settings\Admin\мои документы\проша\far_manager_1\Plugins\2020_52\qamaker.exe (Trojan.Dropper) -> No action taken.
c:\Westwood\RA2\Ra2.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\Admin\мои документы\проша\s500_to_w580\w580_r8be001_main_generic_la_red52\qamaker.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\мои документы\проша\setool2_lite_v1.11\qamaker\qamaker.exe (Trojan.Dropper) -> No action taken.

4 ссылки на результаты проверок приложите.

 

Пофиксите в Hijackthis (внимательно, прошлый раз пофиксили лишнее; смена языков работает?):

O4 - HKUS\S-1-5-21-2000478354-527237240-1547161642-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

 

Вопрос про Ammyy Admin актуален. Удаляли? Удалён?

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

файлы удалил...

профиксил... смена языка работает...

Ammyy Admin- не устанавливал... а просто скачивал уже рабочую программу..запускал без установки.. ас не использую её.... пробывал фиксить соответствующую строчку .. она снова появляется...

 

http://www.virustotal.com/file-scan/report...cbf-1308504514#

http://www.virustotal.com/file-scan/report...0d73-1308504421

http://www.virustotal.com/file-scan/report...ccbf-1308504911

http://www.virustotal.com/file-scan/report...ccbf-1308504559

 

qamaker.exe- это мой файл..нужный... использую для создания патча от прошивки для доступа к определенной области...

Ссылка на комментарий
Поделиться на другие сайты

деинсталлируйте MBAM

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Ссылка на комментарий
Поделиться на другие сайты

деинсталлируйте MBAM

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

спасибо за помощь)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • Ser_S
      От Ser_S
      Здравствуйте, если, например задать маску проверки сайтов например *.mail.ru, то проверяется зона ru, затем mail и затем если звёздочка, то  все эти поддомены соответствуют условию.
      Непонятно, если условие написать mail.*, то будет ли проверяться каждая зона(ru, net, com и т.д.) на содержание поддомена mail?
    • Хасан Абдурахман
      От Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • maks_b
      От maks_b
      Добрый день.
      Настраиваю блокировку доступа к сайтам, сделал тестовое правило для блокировки доступа к сайту, например к ok.ru. Сайт блокируется все норм, но при включении этого правила перестает соединяться через SSL Network Extender. И любое правило запрета доступа через веб-контроль блокирует соединение через SSL Network Extender. Ошибка на скрине. Если правило отключить, то все работает. Подскажите, как исправить?
      Версия Каспера KES 12.6., KSC тоже последней версии.


    • ARMADA
      От ARMADA
      Доброго времени суток!
      Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
      Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
      Письмо отправлено с адреса *****@*****.tld
      Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.
       
      Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.
       
      Файл отправил для анализа через https://opentip.kaspersky.com/
      9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF
       
      Очевидно что рассылка идёт прямо сейчас, и будет много жертв.
       
      Так же - хотелось бы алгоритм полного удаления из системы, со всеми "хвостами".
      Систему пока запускать боимся, думаю пролечить с загрузкой с флешки. 
      По сему KVRT и логи предоставить не могу.
×
×
  • Создать...