Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 05.08.2014, 10:54   #121 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

следов winlock не осталось, зато есть левая стартовая в браузере.
с винлоками боремся с помощью загрузочного диска
http://pchelpforum.ru/f26/t134964/

---------------

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.83 BETA 12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOWNLOADS\SETUP.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://BROWSERHELP.RU

; Java(TM) 6 Update 20
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 05.08.2014, 11:22   #122 (ссылка)
Новичок
 
Регистрация: 25.07.2012
Сообщений: 885
Репутация: 8
По умолчанию

лог малвары
пока полет нормальный
IvanovPRO777 вне форума  
Старый 05.08.2014, 11:41   #123 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

удаляем в мбам остатки троянов
------------
удалите все найденное в мбам (отметить галками найденные записи, и нажать кнопку - удалить выделенное),
перегружаем систему,

далее

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672
----------

в АдвКлинере после сканирования,в секции Папки, снимите галки на записях mail.ru, yandex
остальное удалите по кнопке Очистить

далее

закрываем уязвимости

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
----------
safety вне форума  
Старый 05.08.2014, 16:56   #124 (ссылка)
Новичок
 
Регистрация: 25.07.2012
Сообщений: 885
Репутация: 8
По умолчанию Компьютер № 015

Медленная работа ПК, особенно в Интернете
Купили лицензионного Касперского, но не смогли установить
Не работает сетевая карта, возможно последствия вируса.
log malware
IvanovPRO777 вне форума  
Старый 05.08.2014, 17:19   #125 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

вирусни полно, сейчас скрипт и рекомендации добавлю
safety вне форума  
Старый 05.08.2014, 17:26   #126 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

похоже, тяжелый случай с файловым заражением.

пока выполняем скрипт, и после выполнения скрипта добавить новый образ автозапуска без проверки цифровых... так будет быстрее, посмотрим, если новые файлики появятся, значит активное файловое заражение есть. и обязательно карантин отправить в мою почту. (ниже)

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.83 BETA 12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
addsgn 1AE1709A5583508FF42B51946CEC8305DAAFF8D218FA9487D048294325C28E3933E8B65BC1209521C54A039F2E4AB2157D37907555DA33E8352A6745CFBEEE03 8 mediaget

zoo %SystemDrive%\PROGRAM FILES\BLOCKANDSURF CORP\BLOCKNSURF.EXE
addsgn 1A1F699A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BEC929671C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 a variant of Win32/AdWare.AddLyrics.AI 

zoo %Sys32%\DRIVERS\QKNFD.SYS
addsgn 79132211B9CB4CFE0AD42B71DD86F4459EFEF8CD488F01F390CB4EBD506E71C0221702BF36669FEA2B0C859F3311C23BDEDF6473552D608F29FBA52F9AEF7394 8 Adware.Popad.10 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\WEBGET\BIN\WEBGET.BROWSERADAPTER.EXE
addsgn 1A69579A5583C58CF42B95BC1488530550880F3560F63E7885483AE9DB3A2CA52435C357B5AAC8C2C703688FAD1BB68F7537D65055DAE9A9ED03ABD0B20ECAB6 8 Win32/BrowseFox.I [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\WEBGET\BIN\WEBGET.PURBROWSE.EXE
addsgn 1AAA1E9A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7BC8F39471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/BrowseFox.J [ESET-NOD32]

addsgn C11E3A1AA4E5B3BC079B51742EE0C7F69153C72E76389E8A0C9DE5C9EEA47E828894255731EA4446845A3313F41438F3750D654F8020B90BDFF66288590922B5 8 services

zoo %SystemDrive%\:SERVICES.EXE

; Quiknowledge
exec C:\Program Files\Quiknowledge\Uninstall.exe
; webget
exec C:\Program Files\webget\webgetuninstall.exe
; V-bates 2.0.0.438
exec C:\Program Files\V-bates\unins000.exe

delall %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE
delall %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECTTRAYICON.EXE
deldirex %SystemDrive%\PROGRAM FILES\V-BATES
deldirex %SystemDrive%\PROGRAM FILES\WEBGET
deldirex %SystemDrive%\PROGRAM FILES\BLOCKANDSURF CORP
zoo D:\CXJW.PIF
zoo %SystemDrive%\YXFSE.EXE
delall F:\AUTORUN.INF
delall D:\AUTORUN.INF
delall %SystemDrive%\AUTORUN.INF
;------------------------autoscript---------------------------

chklst
delvir

delref %Sys32%\DRIVERS\{55685567-4840-4A91-962B-49A412E9485A}T.SYS

delref %Sys32%\DRIVERS\{9EDD0EA8-2819-47C2-8320-B007D5996F8A}T.SYS

REGT 5


deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru
далее,
+
новый образ автозапуска.
safety вне форума  
Старый 05.08.2014, 17:28   #127 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

причина неустановки Касперского, то что еще установлен АВаст, и потому что есть все симптомы (автораны в корне логических дисков) файлового заражения.

вобщем медленно и верно все разгребаем
safety вне форума  
Старый 05.08.2014, 17:32   #128 (ссылка)
Новичок
 
Регистрация: 25.07.2012
Сообщений: 885
Репутация: 8
По умолчанию

А как запустить скрипт без проверки цифровых подписей?
IvanovPRO777 вне форума  
Ads
Старый 05.08.2014, 17:32   #129 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

кстати, дистр Аваста модифицирован вирусом, его больше не использовать.

Полное имя C:\DOWNLOADS\ПРОГРАММЫ\AVAST_FREE_ANTIVIRUS_SETUP_ ONLINE.EXE
Имя файла AVAST_FREE_ANTIVIRUS_SETUP_ONLINE.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
File_Id 53AC0488C8000
Linker 9.0
Размер 4862664 байт
Создан 09.07.2014 в 23:59:15
Изменен 10.07.2014 в 01:35:21
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Оригинальное имя SfxInst.exe
Версия файла 9.0.2021.515
Описание avast! Antivirus Installer
Copyright Copyright (c) 2013 AVAST Software
Производитель AVAST Software
Комментарий avast! Antivirus

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

Доп. информация на момент обновления списка
SHA1 58580F58582AF15214B8A9A1D51A348DFB5883A9
MD5 24A97E937CF1147F75943F477674CF90
safety вне форума  
Старый 05.08.2014, 17:33   #130 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от IvanovPRO777 Посмотреть сообщение
А как запустить скрипт без проверки цифровых подписей?
не скрипт, а потом новый образ создать. там опция в uVS есть рядом с полным образом автозапуска.
safety вне форума  
Старый 05.08.2014, 17:34   #131 (ссылка)
Новичок
 
Регистрация: 25.07.2012
Сообщений: 885
Репутация: 8
По умолчанию

аваст удалить? стандартно или через какаю утилиту?
IvanovPRO777 вне форума  
Старый 05.08.2014, 17:36   #132 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от IvanovPRO777 Посмотреть сообщение
аваст удалить? стандартно или через какаю утилиту?
до Аваста потом дело дойдет. сейчас выполняем скрипт в увс, высылаем карантин, и добавляем новый образ автозапуска. Нужно определить тип файлового заражения. что это. чтобы определиться чем лечить систему.
safety вне форума  
Старый 05.08.2014, 17:45   #133 (ссылка)
Новичок
 
Регистрация: 25.07.2012
Сообщений: 885
Репутация: 8
По умолчанию

Все понял. У меня раб. день к концу идет, щас все отправлю и завтра продолжим.
лог увз без ЭЦП
IvanovPRO777 вне форума  
Старый 05.08.2014, 17:49   #134 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

новые файлики добавились в корень диска с автораном

Цитата:
Полное имя F:\EWFARH.EXE
Имя файла EWFARH.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ
File_Id 3C66727913000
Linker 6.0
Размер 103140 байт
Создан 05.08.2014 в 18:39:32
Изменен 05.08.2014 в 18:39:32
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ R/O
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Автозапуск из AUTORUN.INF в корне диска [типично для авторановых вирусов]

Доп. информация на момент обновления списка
SHA1 ABCE3D58D3FAB0E33DAAC4451AED30B8B384589C
MD5 37E2CB7C9282C36BEBA930D2389C4A19

Ссылки на объект
Ссылка F:\autorun.inf
значит файловое есть. придется лечиться с загрузочного диска.
safety вне форума  
Старый 05.08.2014, 18:03   #135 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

вообщем имеем действительно файловое заражение

05.08.2014 20:00:04 Real-time file system protection file Z:\virus!!!\ZOO_2014-08-05_18-37-04\YXFSE.EXE._1B5F4C70564EFADD48F6F9B3F8AB7BD4DC02 F322 Win32/Sality virus deleted - quarantined AL-1\safety Event occurred on a new file created by the application: C:\Program Files\WinRAR\WinRAR.exe.

а потому, аккуратно работаем с пациентом (больным компом), следим, чтобы на флэшках вирус не ушел.

пролечите систему с помощью Live.CD
DrWeb
http://www.freedrweb.com/livecd/
или ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/
затем можно сдлеать логи по правилам для проверки
http://pchelpforum.ru/f26/t6442/
http://pchelpforum.ru/showpost.php?p=593305&postcount=3


-------------
+
еще ссылки на загрузочные диски здесь
http://chklst.ru/forum/discussion/13...ot-eset-russia

и здесь
http://chklst.ru/forum/discussion/26/dr-web-livecd
safety вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
плановая проверка pro-pan Безопасность 1026 16.03.2016 15:37
Плановая проверка Mr Shape Безопасность 4 21.09.2013 22:32
плановая проверка Mr Shape Безопасность 4 27.02.2013 03:29
плановая проверка Mr Shape Безопасность 6 22.02.2013 17:31
плановая проверка suvandre Безопасность 12 17.09.2012 09:40


Текущее время: 15:16. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.