janeray@mail.ru 0 Опубликовано 21 сентября, 2011 Share Опубликовано 21 сентября, 2011 (изменено) в начале сентября - было несколько открытых сетевых атак, напрямую - на повреждение баз Касперского, на моих глазах. "перехватчик неопределен" сразу после этого - блокировка интернет-банкинга. стоит ли переустанавливать винду, менять банк.ключи http://www.getsysteminfo.com/read.php?file...5c3f8e0c5bb064f Сообщение от модератора vasdas Сообщения выделены в отдельную тему. GetSystemInfo_WIN7XP_Evgeniya_2011_09_21_03_58_46.zip hijackthis.log hijackthis.log Изменено 21 сентября, 2011 пользователем vasdas Цитата Ссылка на сообщение Поделиться на другие сайты
Mrak 2 171 Опубликовано 21 сентября, 2011 Share Опубликовано 21 сентября, 2011 Система дискредитирована. На компе, как я понял, ценные данные. Возможность переустановки ОС имеется. Так чего же вы ждёте? Полагаю, что правы Микрософтовцы, считающие, что если в систему попал вирус, это уже не ваша система и нельзя быть в ней уверенным. Цитата Ссылка на сообщение Поделиться на другие сайты
janeray@mail.ru 0 Опубликовано 21 сентября, 2011 Автор Share Опубликовано 21 сентября, 2011 дело в том, что я уже второй раз за месяц делаю переустановку из-за вот этих сетевых атак с почерком "повреждение баз касперского". как бы установить источник и поставить сетевую защиту? (по логам - дискредитирована?) Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 21 сентября, 2011 Share Опубликовано 21 сентября, 2011 (изменено) janeray@mail.ru, еще раз внимательно прочитайте правила раздела и прикрепите отчеты virusinfo_syscure.zip и virusinfo_syscheck.zip. Вижу, что Malwarebytes' Anti-Malware до сих пор не удалили, поэтому обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. P.S. создавайте, пожалуйста, отдельную тему при новом обращении в данный раздел. Изменено 21 сентября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
janeray@mail.ru 0 Опубликовано 21 сентября, 2011 Автор Share Опубликовано 21 сентября, 2011 - идет ли это от пары нелицензированных программ на компе - или это внешние атаки.... как узнать? Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 21 сентября, 2011 Share Опубликовано 21 сентября, 2011 (изменено) - идет ли это от пары нелицензированных программ на компе- или это внешние атаки.... как узнать? Выполните рекомендации из 30 поста. Изменено 21 сентября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
janeray@mail.ru 0 Опубликовано 21 сентября, 2011 Автор Share Опубликовано 21 сентября, 2011 лог mbam_log_2011_09_21__08_37_27_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 21 сентября, 2011 Share Опубликовано 21 сентября, 2011 janeray@mail.ru, еще раз внимательно прочитайте правила раздела и прикрепите отчеты virusinfo_syscure.zip и virusinfo_syscheck.zip. Цитата Ссылка на сообщение Поделиться на другие сайты
janeray@mail.ru 0 Опубликовано 22 сентября, 2011 Автор Share Опубликовано 22 сентября, 2011 log еще разок (avz скачана новая и обновлена) virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 сентября, 2011 Share Опубликовано 22 сентября, 2011 скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('J:\autorun.inf',''); QuarantineFile('C:\Program Files\Creative\SBAudigy2ZS\Program\Startup Menu\ChkColor.EXE',''); QuarantineFile('jpfgtygk.sys',''); QuarantineFile('C:\WINDOWS\system32\reboot.exe',''); QuarantineFile('C:\WINDOWS\system32\wse.exe',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. c:\dcdownloads\adobe premiere pro cs4 iso\adobe premiere pro cs4\xforce keygen\keygen.exe c:\WINDOWS\system32\greenfields.scr c:\WINDOWS\system32\CPLBonus\pkey.exe C:\Program Files\Sony\Vegas Pro 9.0\vegas90.exe.bak C:\Program Files\Sony\Vegas Pro 9.0\applicationregistration.exe.bak C:\Program Files\Sony\Vegas Pro 9.0\FileIO Plug-Ins\ac3plug\ac3market\applicationregistration.exe.bak и несколько файлов на выбор из этого списка Раскрывающийся текст: C:\Program Files\Sony\Shared Plug-Ins\Audio\mchammer.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sffrgpnv.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sfppack1.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sfppack2.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sfppack3.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sfresfilter.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sftrkfx1.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sfxpfx1.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sfxpfx2.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\sfxpfx3.dll.bak C:\Program Files\Sony\Shared Plug-Ins\Audio\xpvinyl.dll.bak C:\Program Files\Sony\Vegas Pro 9.0\External Control Drivers\faderport.dll.bak C:\Program Files\Sony\Vegas Pro 9.0\External Control Drivers\spconsoleopt.dll.bak C:\Program Files\Sony\Vegas Pro 9.0\External Control Drivers\spgenctrlopt.dll.bak C:\Program Files\Sony\Vegas Pro 9.0\External Control Drivers\spmackiectrlopt.dll.bak C:\Program Files\Sony\Vegas Pro 9.0\FileIO Plug-Ins\ac3plug\ac3market\sfmarket2.dll.bak C:\Program Files\Sony\Vegas Pro 9.0\FileIO Plug-Ins\ac3plug\ac3plug.dll.bak C:\Program Files\Sony\Vegas Pro 9.0\sfmarket2.dll.bak C:\Program Files\Sony\Vegas Pro 9.0\sfpublish.dll.bak + сделайте такой лог Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Установите Internet Explorer 8 (даже если им не пользуетесь) Проверьте системный раздел скандиском. пуск - выполнить - cmd - вбиваете chkdsk C: /v /f /r /x нажать Y перезагрузиться. подождать. Цитата Ссылка на сообщение Поделиться на другие сайты
janeray@mail.ru 0 Опубликовано 22 сентября, 2011 Автор Share Опубликовано 22 сентября, 2011 (изменено) оу..... я аж вдохнула и выдохнула.... сделаю паузу твикс и начну....))))) (хорошо, я не успела в новую винду весь пакет программ установить, так может уж грохнуть?........) (но sony vegas я, кажется сразу грохнула после логов...) Кодc:\dcdownloads\adobe premiere pro cs4 iso\adobe premiere pro cs4\xforce keygen\keygen.exe c:\WINDOWS\system32\greenfields.scr c:\WINDOWS\system32\CPLBonus\pkey.exe эти три я сразу после еще той проверки (малваре) удалила (((( C:\Program Files\Sony\Vegas Pro 9.0\vegas90.exe.bakC:\Program Files\Sony\Vegas Pro 9.0\applicationregistration.exe.bak C:\Program Files\Sony\Vegas Pro 9.0\FileIO Plug-Ins\ac3plug\ac3market\applicationregistration.exe.bak и несколько файлов на выбор из этого списка Раскрывающийся текст тут все "по нолям" http://www.virustotal.com/file-scan/report...bfad-1316712068 http://www.virustotal.com/file-scan/report...f691-1316711952 http://www.virustotal.com/file-scan/report...87aa-1316712306 http://www.virustotal.com/file-scan/report...836d-1316712301 http://www.virustotal.com/file-scan/report...d891-1316713147 http://www.virustotal.com/file-scan/report...9dc9-1316713016 http://www.virustotal.com/file-scan/report...dd0d-1316712767 http://www.virustotal.com/file-scan/report...9d5c-1316713433 на всяк : http://www.virustotal.com/file-scan/report...a57d-1316712063 на всяк : http://www.virustotal.com/file-scan/report...3594fa01-131671 rsit - сделаны log, info info.txt log.txt Изменено 22 сентября, 2011 пользователем janeray@mail.ru Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 сентября, 2011 Share Опубликовано 22 сентября, 2011 Установите Internet Explorer 8 (даже если им не пользуетесь) - не сделали. (хорошо, я не успела в новую винду весь пакет программ установить, так может уж грохнуть?........) не вижу причин для этого c:\WINDOWS\system32\greenfields.scr - скорее всего ложный детект на стандартный скринсейвер, его можно восстановить из карантина MBAM. Ждем ответ по отправленному карантину. Цитата Ссылка на сообщение Поделиться на другие сайты
janeray@mail.ru 0 Опубликовано 22 сентября, 2011 Автор Share Опубликовано 22 сентября, 2011 (изменено) Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. сделала (со всеми клинами, перезагрузками, через личный кабинет) ------------------ а. еще была такая штука: ситуация: дважды касперыч детект. "сетвые атаки, не опознанные серверы", --->>>"повреждение баз"---->> 10 мин., Касперыч снова загорается с надписью "базы выгружены", тут разворачивается такое черное программное окно, в котором текст...успела только взглядом выцепить заголовок то ли "iframe", то ли "frame work...". потом два дня такая штука: как будто невидимый квадрат посередине монитора, окна когда двигаешь - они как бы за ним исчезают... ну, у меня обычно комп без таких глюков работает. Изменено 22 сентября, 2011 пользователем janeray@mail.ru Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 сентября, 2011 Share Опубликовано 22 сентября, 2011 еще была такая штука:ситуация: дважды касперыч детект. "сетвые атаки, не опознанные серверы", --->>>"повреждение баз"---->> 10 мин., Касперыч снова загорается с надписью "базы выгружены" Хорошо бы скриншоты увидеть. Это все происходило при запущенной FlylinkDC? Цитата Ссылка на сообщение Поделиться на другие сайты
janeray@mail.ru 0 Опубликовано 22 сентября, 2011 Автор Share Опубликовано 22 сентября, 2011 (изменено) сейчас такого нет. это - было после одной из "атак". я знаю приколы с этим flylink (уж лучше вообще не открывать эту платформу вирусов и хакеров )))))) но атаки, если честно, связываю именно с "хак-аньем" инет-банкинга (была утечка информации, и всё, банкинг error и восстановить не могут, и ключи немного странно себя "ведут") -------------------------------- и еще хорошо бы знать на будущее (в логах про порты высмотрела) - как отключать все опасные открытые "порты" windows. я и так все глючные mailagentы и прочее не использую.... -------------------------------- результаты по файлу КАРАНТИН - скриншот ----------------------------- а ну вот...утром (ДВосток) снова "сетевые..." (так много, месяц назад их вообще небыло), но сейчас без поврежд.баз. Изменено 22 сентября, 2011 пользователем janeray@mail.ru Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.