Irbis73 1 Опубликовано 17 июля, 2013 Share Опубликовано 17 июля, 2013 Добрый вечер! Помогите выличить Backdoor.Win32.Nbdd.ln. Kaspersky Virus Removal Tool 2011 не работает, выходит в ошибку. Логи AVZ и RSIT во вложении. 3 задания в планировщике, это "нормальные" задания. Подскажите AVZ можно запускать через RDP или обязательно локально? virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 июля, 2013 Share Опубликовано 18 июля, 2013 Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 18 июля, 2013 Автор Share Опубликовано 18 июля, 2013 (изменено) Сделайте лог полного сканирования МВАМ thyrex, логи сделал. Прилагаю. MBAM-log-2013-07-18 (13-57-39).txt Изменено 18 июля, 2013 пользователем Irbis73 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 июля, 2013 Share Опубликовано 18 июля, 2013 Удалите в MBAM только следующие объекты: Registry Keys Detected: 3 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\net1.exe (Security.Hijack) -> No action taken. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\p.exe (Security.Hijack) -> No action taken. Files Detected: 25 C:\Documents and Settings\a.vereshchagin\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00001.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00002.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00003.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00004.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00005.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00006.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00007.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00008.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00009.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00010.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Administrator\Desktop\avz4\Infected\2013-07-17\avz00011.dta (Trojan.Backdoor) -> No action taken. C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken. C:\Documents and Settings\m.zinakov\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken. C:\Documents and Settings\n.lyzlova\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken. C:\Documents and Settings\root\Local Settings\Temporary Internet Files\Content.IE5\8NLO39HH\123[1].exe (FakeMS) -> No action taken. C:\RECYCLER\boot123.exe (FakeMS) -> No action taken. C:\RECYCLER\hex123.exe (FakeMS) -> No action taken. C:\WINDOWS\HackYuker.exe (FakeMS) -> No action taken. C:\WINDOWS\addins\xy135.exe (PUP.Hacktool) -> No action taken. C:\WINDOWS\addins\NTscan\system.exe (PUP.Hacktool) -> No action taken. C:\WINDOWS\system32\boot123.exe (FakeMS) -> No action taken. C:\WINDOWS\system32\hex123.exe (FakeMS) -> No action taken. C:\RECYCLER\xp123.exe (Trojan.Agent) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Вам знаком этот файл? F:\Install\srv9.1ent\keygen.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 18 июля, 2013 Автор Share Опубликовано 18 июля, 2013 (изменено) Удалите в MBAM только следующие объекты: После удаления откройте лог и прикрепите его к сообщению. Вам знаком этот файл? F:\Install\srv9.1ent\keygen.exe Все сделал согласно инструкции. Компьютер перезагрузился. Лог во вложении. Удалил всю папку srv9.1ent. Пока сканировал, MBAM отразил пару раз атаку с адреса 213.186.127.244 mbam-log-2013-07-18 (20-51-16).txt Изменено 18 июля, 2013 пользователем Irbis73 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 июля, 2013 Share Опубликовано 18 июля, 2013 сделайте новые логи AVZ Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 19 июля, 2013 Автор Share Опубликовано 19 июля, 2013 сделайте новые логи AVZ Новые логи во вложении. virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июля, 2013 Share Опубликовано 19 июля, 2013 переделайте логи AVZ НЕ из терминальной сессии. Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 23 июля, 2013 Автор Share Опубликовано 23 июля, 2013 Логи во вложении. В планировщике добавлены 4 задания spooler. virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 июля, 2013 Share Опубликовано 23 июля, 2013 отладчики для этих 4-х процессов Ваши? Опасно - отладчик процесса "cs.exe" = "exit" Опасно - отладчик процесса "odsole70.dll" = "exit" Опасно - отладчик процесса "wscript.exe" = "exit" Опасно - отладчик процесса "xplog70.dll" = "exit" Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 24 июля, 2013 Автор Share Опубликовано 24 июля, 2013 отладчики для этих 4-х процессов Ваши? Опасно - отладчик процесса "cs.exe" = "exit" Опасно - отладчик процесса "odsole70.dll" = "exit" Опасно - отладчик процесса "wscript.exe" = "exit" Опасно - отладчик процесса "xplog70.dll" = "exit" нет, отладчики не мои. xplog70.dll SQL библиотека, размер, MD5 и SHA1 соответствуют нормам. Установлена SQL 2005. wscript.exe размер правильный, а вот MD5 и SHA1 отличаются cs.exe и odsole70.dll нет на диске, назначение файла cs.exe мне неизвестно Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 31 июля, 2013 Share Опубликовано 31 июля, 2013 Перед выполнением следующих операций создайте новую точку восстановления системы! Удалите в MBAM только следующие объекты: Registry Keys Detected: 3 HKLM\System\CurrentControlSet\Services\MediaCenter (Trojan.Agent) -> No action taken. Registry Values Detected: 2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe|Debugger (Security.Hijack) -> Data: exit -> No action taken. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost|krnlsrvc (Trojan.Agent) -> Data: MediaCenter^ -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить >> Обнаружен отладчик системного процесса Приложите новые логи AVZ Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 2 августа, 2013 Автор Share Опубликовано 2 августа, 2013 Roman_Five, спасибо за помощь. В понедельник-вторник выполню ваши советы. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.