um ka Опубликовано 14 августа, 2011 Share Опубликовано 14 августа, 2011 хелп hijackthis.log.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
R122 Опубликовано 14 августа, 2011 Share Опубликовано 14 августа, 2011 (изменено) хелп Ты никогда не замечал ОГРОМНЫЙ сетевой траффик? скрипт удален (А то подозрительный фаил autorun.wsh) И ещё лучше пока подождите мастеров они вам подскажут полный скрипт. Строгое предупреждение от модератора vasdas Воздержитесь от рекомендаций в этом разделе форума, ознакомьтесь с правилами данного раздела! Изменено 14 августа, 2011 пользователем vasdas 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 15 августа, 2011 Share Опубликовано 15 августа, 2011 um ka, добро пожаловать на форум! Проверьте компьютер утилитой из данной статьи: http://support.kaspersky.ru/faq/?qid=208636215 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\documents and settings\um ka\application data\netprotocol.exe'); QuarantineFile('F:\autorun.wsh',''); QuarantineFile('C:\Program Files\Common Files\ntmsg.rsl',''); QuarantineFile('C:\WINDOWS\system32\dgvosbg.dll',''); QuarantineFile('c:\documents and settings\um ka\application data\netprotocol.exe',''); DeleteFile('C:\WINDOWS\system32\dgvosbg.dll'); DeleteFile('C:\Documents and Settings\um ka\Application Data\netprotocol.exe'); DeleteFile('F:\autorun.wsh'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); DelAutorunByFileName('C:\WINDOWS\system32\dgvosbg.dll '); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',1,1,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R3 - URLSearchHook: (no name) - - (no file) O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\um ka\Application Data\netprotocol.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\dgvosbg.dll После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
um ka Опубликовано 15 августа, 2011 Автор Share Опубликовано 15 августа, 2011 в вк заходит, спасибо большое. нашло еще 17 зараженных объектов (Malwarebytes' Anti-Malware) вот пока только это: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log mbam_log_2011_08_15__19_06_30_.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 15 августа, 2011 Share Опубликовано 15 августа, 2011 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\documents and settings\um ka\application data\user_63.exe',''); QuarantineFile('c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\63WRT7AW\netprotocol[1].exe',''); QuarantineFile('c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\6ZULQN94\netprotocol[1].exe ',''); QuarantineFile('c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\IZJ6ZYLS\build_m61000[1].exe ',''); QuarantineFile('f:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx',''); QuarantineFile('c:\documents and settings\um ka\application data\netprotdrvss.exe',''); QuarantineFile('c:\program files\image-line\toxic biohazard\toxic biohazard.dll',''); QuarantineFile('d:\WINDOWS\system32\CDClose.dll',''); QuarantineFile('d:\WINDOWS\system32\dllcache\iissync.exe',''); QuarantineFile('e:\games\fallout (1c)\_SETUP.EXE',''); DeleteFile('c:\documents and settings\um ka\application data\user_63.exe'); DeleteFile('c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\63WRT7AW\netprotocol[1].exe'); DeleteFile('c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\6ZULQN94\netprotocol[1].exe'); DeleteFile('c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\IZJ6ZYLS\build_m61000[1].exe'); DeleteFile('f:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx'); DeleteFile('c:\documents and settings\um ka\application data\netprotdrvss.exe'); QuarantineFile('C:\Program Files\Common Files\ntmsg.rsl',''); DeleteFile('C:\Program Files\Common Files\ntmsg.rsl'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Удалите в MBAM ТОЛЬКО следующие объекты (некоторых может уже не быть): Объекты реестра заражены: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll (Hijack.LanmanServer) -> Bad: (%CommonProgramFiles%\ntmsg.rsl) Good: (%SystemRoot%\System32\srvsvc.dll) -> No action taken. Зараженные файлы: c:\documents and settings\um ka\application data\user_63.exe (Trojan.Downloader) -> No action taken. c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\63WRT7AW\netprotocol[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\6ZULQN94\netprotocol[1].exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\IZJ6ZYLS\build_m61000[1].exe (Rootkit.0Access.XGen) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP2\A0002016.dll (Malware.Packer.T) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP2\A0002020.exe (Trojan.Vundo) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP2\A0002032.dll (Malware.Packer.T) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP3\A0002077.dll (Malware.Packer.T) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP3\A0002082.exe (Trojan.Vundo) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP3\A0002094.dll (Malware.Packer.T) -> No action taken. f:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> No action taken. c:\documents and settings\um ka\application data\netprotdrvss.exe (Trojan.Agent) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Проверьте на virustotal.com следующие файлы: c:\program files\image-line\toxic biohazard\toxic biohazard.dll d:\WINDOWS\system32\CDClose.dll d:\WINDOWS\system32\dllcache\iissync.exe e:\games\fallout (1c)\_SETUP.EXE 4 ссылки на результаты проверки приложите. Изменено 15 августа, 2011 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты More sharing options...
um ka Опубликовано 15 августа, 2011 Автор Share Опубликовано 15 августа, 2011 Вот ответ на первую отправку карантин.зип: "autorun.wsh Вредоносный код в файле не обнаружен. bcqr00003.dat, bcqr00004.dat, ntmsg.rsl dgvosbg.dll Файлы в процессе обработки. netprotocol.exe - Trojan.Win32.Jorik.Buterat.eq В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами. С уважением, Лаборатория Касперского" второй карантин: _SETUP.EXE, bcqr00019.dat, bcqr00020.dat, ntmsg.rsl user_63.exe Файлы в процессе обработки. bcqr00013.dat, bcqr00014.dat, bcqr00015.dat, bcqr00016.dat, bcqr00017.dat, bcqr00018.dat, toxic biohazard.dll Вредоносный код в файлах не обнаружен. build_m61000[1].exe - Trojan.Win32.Menti.hrwv jwgkvsq.vmx - Net-Worm.Win32.Kido.ih netprotdrvss.exe - Trojan.Win32.Jorik.Buterat.eq netprotocol[1].exe - Trojan.Win32.Jorik.Buterat.ep netprotocol[1]_0.exe - Trojan-Dropper.Win32.Aspxor.bf проверил на сайте: токсикбиохазард.длл: MD5: 497cf7189ce0cc157b243654769f4815 Date first seen: 2008-06-17 22:59:35 (UTC) Date last seen: 2010-11-14 11:26:09 (UTC) Detection ratio: 18/43 другие файлы отсутствуют mbam_log_2011_08_15__22_50_58_.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 15 августа, 2011 Share Опубликовано 15 августа, 2011 (изменено) um ka, другие файлы отсутствуют Вы удалили лишнее... d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Quarantined and deleted successfully. - восстановите из карантина MBAM Detection ratio: 18/43 покажите ссылку проверки. выберите RESCAN. вирлаб ответил, что он чист. c:\documents and settings\um ka\главное меню\программы\автозагрузка\igfxtray.exe (Rootkit.0Access.XGen) -> Delete on reboot. - у Вас было повторное заражение. После проведённого лечения рекомендуется:- установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) выполняли? Изменено 15 августа, 2011 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти