um ka 0 Опубликовано 14 августа, 2011 Share Опубликовано 14 августа, 2011 хелп hijackthis.log.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
R122 1 Опубликовано 14 августа, 2011 Share Опубликовано 14 августа, 2011 (изменено) хелп Ты никогда не замечал ОГРОМНЫЙ сетевой траффик? скрипт удален (А то подозрительный фаил autorun.wsh) И ещё лучше пока подождите мастеров они вам подскажут полный скрипт. Строгое предупреждение от модератора vasdas Воздержитесь от рекомендаций в этом разделе форума, ознакомьтесь с правилами данного раздела! Изменено 14 августа, 2011 пользователем vasdas 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 августа, 2011 Share Опубликовано 15 августа, 2011 um ka, добро пожаловать на форум! Проверьте компьютер утилитой из данной статьи: http://support.kaspersky.ru/faq/?qid=208636215 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\documents and settings\um ka\application data\netprotocol.exe'); QuarantineFile('F:\autorun.wsh',''); QuarantineFile('C:\Program Files\Common Files\ntmsg.rsl',''); QuarantineFile('C:\WINDOWS\system32\dgvosbg.dll',''); QuarantineFile('c:\documents and settings\um ka\application data\netprotocol.exe',''); DeleteFile('C:\WINDOWS\system32\dgvosbg.dll'); DeleteFile('C:\Documents and Settings\um ka\Application Data\netprotocol.exe'); DeleteFile('F:\autorun.wsh'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); DelAutorunByFileName('C:\WINDOWS\system32\dgvosbg.dll '); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',1,1,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R3 - URLSearchHook: (no name) - - (no file) O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\um ka\Application Data\netprotocol.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\dgvosbg.dll После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
um ka 0 Опубликовано 15 августа, 2011 Автор Share Опубликовано 15 августа, 2011 в вк заходит, спасибо большое. нашло еще 17 зараженных объектов (Malwarebytes' Anti-Malware) вот пока только это: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log mbam_log_2011_08_15__19_06_30_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 августа, 2011 Share Опубликовано 15 августа, 2011 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\documents and settings\um ka\application data\user_63.exe',''); QuarantineFile('c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\63WRT7AW\netprotocol[1].exe',''); QuarantineFile('c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\6ZULQN94\netprotocol[1].exe ',''); QuarantineFile('c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\IZJ6ZYLS\build_m61000[1].exe ',''); QuarantineFile('f:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx',''); QuarantineFile('c:\documents and settings\um ka\application data\netprotdrvss.exe',''); QuarantineFile('c:\program files\image-line\toxic biohazard\toxic biohazard.dll',''); QuarantineFile('d:\WINDOWS\system32\CDClose.dll',''); QuarantineFile('d:\WINDOWS\system32\dllcache\iissync.exe',''); QuarantineFile('e:\games\fallout (1c)\_SETUP.EXE',''); DeleteFile('c:\documents and settings\um ka\application data\user_63.exe'); DeleteFile('c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\63WRT7AW\netprotocol[1].exe'); DeleteFile('c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\6ZULQN94\netprotocol[1].exe'); DeleteFile('c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\IZJ6ZYLS\build_m61000[1].exe'); DeleteFile('f:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx'); DeleteFile('c:\documents and settings\um ka\application data\netprotdrvss.exe'); QuarantineFile('C:\Program Files\Common Files\ntmsg.rsl',''); DeleteFile('C:\Program Files\Common Files\ntmsg.rsl'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Удалите в MBAM ТОЛЬКО следующие объекты (некоторых может уже не быть): Объекты реестра заражены: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll (Hijack.LanmanServer) -> Bad: (%CommonProgramFiles%\ntmsg.rsl) Good: (%SystemRoot%\System32\srvsvc.dll) -> No action taken. Зараженные файлы: c:\documents and settings\um ka\application data\user_63.exe (Trojan.Downloader) -> No action taken. c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\63WRT7AW\netprotocol[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\um ka\local settings\temporary internet files\Content.IE5\6ZULQN94\netprotocol[1].exe (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\config\systemprofile\local settings\temporary internet files\Content.IE5\IZJ6ZYLS\build_m61000[1].exe (Rootkit.0Access.XGen) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP2\A0002016.dll (Malware.Packer.T) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP2\A0002020.exe (Trojan.Vundo) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP2\A0002032.dll (Malware.Packer.T) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP3\A0002077.dll (Malware.Packer.T) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP3\A0002082.exe (Trojan.Vundo) -> No action taken. f:\system volume information\_restore{372f9c3a-e9a4-4436-a52a-cca420791e89}\RP3\A0002094.dll (Malware.Packer.T) -> No action taken. f:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> No action taken. c:\documents and settings\um ka\application data\netprotdrvss.exe (Trojan.Agent) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Проверьте на virustotal.com следующие файлы: c:\program files\image-line\toxic biohazard\toxic biohazard.dll d:\WINDOWS\system32\CDClose.dll d:\WINDOWS\system32\dllcache\iissync.exe e:\games\fallout (1c)\_SETUP.EXE 4 ссылки на результаты проверки приложите. Изменено 15 августа, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
um ka 0 Опубликовано 15 августа, 2011 Автор Share Опубликовано 15 августа, 2011 Вот ответ на первую отправку карантин.зип: "autorun.wsh Вредоносный код в файле не обнаружен. bcqr00003.dat, bcqr00004.dat, ntmsg.rsl dgvosbg.dll Файлы в процессе обработки. netprotocol.exe - Trojan.Win32.Jorik.Buterat.eq В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами. С уважением, Лаборатория Касперского" второй карантин: _SETUP.EXE, bcqr00019.dat, bcqr00020.dat, ntmsg.rsl user_63.exe Файлы в процессе обработки. bcqr00013.dat, bcqr00014.dat, bcqr00015.dat, bcqr00016.dat, bcqr00017.dat, bcqr00018.dat, toxic biohazard.dll Вредоносный код в файлах не обнаружен. build_m61000[1].exe - Trojan.Win32.Menti.hrwv jwgkvsq.vmx - Net-Worm.Win32.Kido.ih netprotdrvss.exe - Trojan.Win32.Jorik.Buterat.eq netprotocol[1].exe - Trojan.Win32.Jorik.Buterat.ep netprotocol[1]_0.exe - Trojan-Dropper.Win32.Aspxor.bf проверил на сайте: токсикбиохазард.длл: MD5: 497cf7189ce0cc157b243654769f4815 Date first seen: 2008-06-17 22:59:35 (UTC) Date last seen: 2010-11-14 11:26:09 (UTC) Detection ratio: 18/43 другие файлы отсутствуют mbam_log_2011_08_15__22_50_58_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 августа, 2011 Share Опубликовано 15 августа, 2011 (изменено) um ka, другие файлы отсутствуют Вы удалили лишнее... d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Quarantined and deleted successfully. - восстановите из карантина MBAM Detection ratio: 18/43 покажите ссылку проверки. выберите RESCAN. вирлаб ответил, что он чист. c:\documents and settings\um ka\главное меню\программы\автозагрузка\igfxtray.exe (Rootkit.0Access.XGen) -> Delete on reboot. - у Вас было повторное заражение. После проведённого лечения рекомендуется:- установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) выполняли? Изменено 15 августа, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.