05.08.2014, 10:54 | #121 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
следов winlock не осталось, зато есть левая стартовая в браузере.
с винлоками боремся с помощью загрузочного диска http://pchelpforum.ru/f26/t134964/ --------------- выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.83 BETA 12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOWNLOADS\SETUP.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://BROWSERHELP.RU ; Java(TM) 6 Update 20 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart далее, выполните сканирование (угроз) в Malwarebytes |
05.08.2014, 11:22 | #122 (ссылка) |
Новичок
Регистрация: 25.07.2012
Сообщений: 885
Репутация: 8
|
лог малвары
пока полет нормальный |
05.08.2014, 11:41 | #123 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
удаляем в мбам остатки троянов
------------ удалите все найденное в мбам (отметить галками найденные записи, и нажать кнопку - удалить выделенное), перегружаем систему, далее сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 ---------- в АдвКлинере после сканирования,в секции Папки, снимите галки на записях mail.ru, yandex остальное удалите по кнопке Очистить далее закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. ---------- |
05.08.2014, 16:56 | #124 (ссылка) |
Новичок
Регистрация: 25.07.2012
Сообщений: 885
Репутация: 8
|
Компьютер № 015
Медленная работа ПК, особенно в Интернете
Купили лицензионного Касперского, но не смогли установить Не работает сетевая карта, возможно последствия вируса. log malware |
05.08.2014, 17:26 | #126 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
похоже, тяжелый случай с файловым заражением.
пока выполняем скрипт, и после выполнения скрипта добавить новый образ автозапуска без проверки цифровых... так будет быстрее, посмотрим, если новые файлики появятся, значит активное файловое заражение есть. и обязательно карантин отправить в мою почту. (ниже) выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.83 BETA 12 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE addsgn 1AE1709A5583508FF42B51946CEC8305DAAFF8D218FA9487D048294325C28E3933E8B65BC1209521C54A039F2E4AB2157D37907555DA33E8352A6745CFBEEE03 8 mediaget zoo %SystemDrive%\PROGRAM FILES\BLOCKANDSURF CORP\BLOCKNSURF.EXE addsgn 1A1F699A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BEC929671C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 a variant of Win32/AdWare.AddLyrics.AI zoo %Sys32%\DRIVERS\QKNFD.SYS addsgn 79132211B9CB4CFE0AD42B71DD86F4459EFEF8CD488F01F390CB4EBD506E71C0221702BF36669FEA2B0C859F3311C23BDEDF6473552D608F29FBA52F9AEF7394 8 Adware.Popad.10 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\WEBGET\BIN\WEBGET.BROWSERADAPTER.EXE addsgn 1A69579A5583C58CF42B95BC1488530550880F3560F63E7885483AE9DB3A2CA52435C357B5AAC8C2C703688FAD1BB68F7537D65055DAE9A9ED03ABD0B20ECAB6 8 Win32/BrowseFox.I [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\WEBGET\BIN\WEBGET.PURBROWSE.EXE addsgn 1AAA1E9A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7BC8F39471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/BrowseFox.J [ESET-NOD32] addsgn C11E3A1AA4E5B3BC079B51742EE0C7F69153C72E76389E8A0C9DE5C9EEA47E828894255731EA4446845A3313F41438F3750D654F8020B90BDFF66288590922B5 8 services zoo %SystemDrive%\:SERVICES.EXE ; Quiknowledge exec C:\Program Files\Quiknowledge\Uninstall.exe ; webget exec C:\Program Files\webget\webgetuninstall.exe ; V-bates 2.0.0.438 exec C:\Program Files\V-bates\unins000.exe delall %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE delall %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECTTRAYICON.EXE deldirex %SystemDrive%\PROGRAM FILES\V-BATES deldirex %SystemDrive%\PROGRAM FILES\WEBGET deldirex %SystemDrive%\PROGRAM FILES\BLOCKANDSURF CORP zoo D:\CXJW.PIF zoo %SystemDrive%\YXFSE.EXE delall F:\AUTORUN.INF delall D:\AUTORUN.INF delall %SystemDrive%\AUTORUN.INF ;------------------------autoscript--------------------------- chklst delvir delref %Sys32%\DRIVERS\{55685567-4840-4A91-962B-49A412E9485A}T.SYS delref %Sys32%\DRIVERS\{9EDD0EA8-2819-47C2-8320-B007D5996F8A}T.SYS REGT 5 deltmp delnfr ;------------------------------------------------------------- czoo restart архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru далее, + новый образ автозапуска. |
05.08.2014, 17:32 | #129 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
кстати, дистр Аваста модифицирован вирусом, его больше не использовать.
Полное имя C:\DOWNLOADS\ПРОГРАММЫ\AVAST_FREE_ANTIVIRUS_SETUP_ ONLINE.EXE Имя файла AVAST_FREE_ANTIVIRUS_SETUP_ONLINE.EXE Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] File_Id 53AC0488C8000 Linker 9.0 Размер 4862664 байт Создан 09.07.2014 в 23:59:15 Изменен 10.07.2014 в 01:35:21 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Оригинальное имя SfxInst.exe Версия файла 9.0.2021.515 Описание avast! Antivirus Installer Copyright Copyright (c) 2013 AVAST Software Производитель AVAST Software Комментарий avast! Antivirus Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен) Доп. информация на момент обновления списка SHA1 58580F58582AF15214B8A9A1D51A348DFB5883A9 MD5 24A97E937CF1147F75943F477674CF90 |
05.08.2014, 17:45 | #133 (ссылка) |
Новичок
Регистрация: 25.07.2012
Сообщений: 885
Репутация: 8
|
Все понял. У меня раб. день к концу идет, щас все отправлю и завтра продолжим.
лог увз без ЭЦП |
05.08.2014, 17:49 | #134 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
новые файлики добавились в корень диска с автораном
Цитата:
|
|
05.08.2014, 18:03 | #135 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
вообщем имеем действительно файловое заражение
05.08.2014 20:00:04 Real-time file system protection file Z:\virus!!!\ZOO_2014-08-05_18-37-04\YXFSE.EXE._1B5F4C70564EFADD48F6F9B3F8AB7BD4DC02 F322 Win32/Sality virus deleted - quarantined AL-1\safety Event occurred on a new file created by the application: C:\Program Files\WinRAR\WinRAR.exe. а потому, аккуратно работаем с пациентом (больным компом), следим, чтобы на флэшках вирус не ушел. пролечите систему с помощью Live.CD DrWeb http://www.freedrweb.com/livecd/ или ESET rescue http://forum.esetnod32.ru/forum9/topic1966/ затем можно сдлеать логи по правилам для проверки http://pchelpforum.ru/f26/t6442/ http://pchelpforum.ru/showpost.php?p=593305&postcount=3 ------------- + еще ссылки на загрузочные диски здесь http://chklst.ru/forum/discussion/13...ot-eset-russia и здесь http://chklst.ru/forum/discussion/26/dr-web-livecd |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
плановая проверка | pro-pan | Безопасность | 1026 | 16.03.2016 15:37 |
Плановая проверка | Mr Shape | Безопасность | 4 | 21.09.2013 22:32 |
плановая проверка | Mr Shape | Безопасность | 4 | 27.02.2013 03:29 |
плановая проверка | Mr Shape | Безопасность | 6 | 22.02.2013 17:31 |
плановая проверка | suvandre | Безопасность | 12 | 17.09.2012 09:40 |