09.03.2011, 22:51 | #1 (ссылка) |
Новичок
Регистрация: 10.10.2009
Сообщений: 347
Репутация: 3
|
"Обновил Java", сильное подозрение на малвар.
Ситуация следующая:
После десятидневной работы без сети, включил машину и подключил сеть. Обновил flash player, затем запустил броузер и в трее высветился значок явы, ну она говорит обновляйся. Я и нажал, а потом глядь что значек какого то оранжевого цвета вместо красного. быстро попытался отменить, но загрузка уже началась. Не бутая машину, скачал, установил драйвер, обновил АВЗ. Бутанулся. Вот лог: http://webfile.ru/5180407 Hijack лог не могу сделать, не пускает на узел. Посмотрите пожалуйста ситуацию и порекомендуйте дальнейшие мои действия... Благодарен. |
09.03.2011, 23:17 | #2 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log'); BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log'); end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\IMAGIN~1\LOCALS~1\Temp\Rar$EX01.640\P2kAutostart.exe',''); DeleteFile('I:\autorun.inf'); DeleteFile('C:\DOCUME~1\IMAGIN~1\LOCALS~1\Temp\Rar$EX01.640\P2kAutostart.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','P2kAutostart'); BC_ImportALL; BC_ServiceKill('htvqqqcm'); ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end. |
09.03.2011, 23:36 | #3 (ссылка) |
Новичок
Регистрация: 10.10.2009
Сообщений: 347
Репутация: 3
|
Выполнил, вот лог http://webfile.ru/5180546
|
12.03.2011, 18:57 | #6 (ссылка) |
Новичок
Регистрация: 10.10.2009
Сообщений: 347
Репутация: 3
|
Вчера при работе выбило подключение к интернет и звук(подозреваю, что драйвер). Думаю ну ладно, надо обновиться. Сегодня взял рабочую флешку и пошел на работу, на работе подключил флешку, аваст сказал что вирус autorun.inf ну я нажал - удалить. На работе пропал интернет, перезагрузки не помогают. Думаю что с флешки исполнился. Пришел домой, думаю дай скачаю Cureit И прогоню рабочую машину. Со своей машины не могу зайти на сайт Вебера.
С подключенной флешкой сделал скрипт в АВЗ. Вот лог: http://webfile.ru/5187155 З.Ы. Откуда словред берется не пойму( Помогите устранить причину его распространения. Iljeben Хорошо, обновы поставить после лечения?? |
13.03.2011, 17:00 | #7 (ссылка) |
Новичок
Регистрация: 10.10.2009
Сообщений: 347
Репутация: 3
|
На этом все не закончилось. Начало выбивать Эксплорер, потом пропал интернет вовсе. Перезагрузки не помогают. Подключение есть, но пинги на узлы не проходят. Сделал новый лог AVZ:
http://webfile.ru/5188846 Благодарен за помощь |
16.03.2011, 23:24 | #8 (ссылка) |
Новичок
Регистрация: 10.10.2009
Сообщений: 347
Репутация: 3
|
Сделал у друга себе dr web live cd и им прогнал систему он нашел 2 малваре один был в систем 32 имел имя нечто khgsdfgbkgdf.dll . Их я удалил. Видимой патологии не наблюдается. Что мне нужно еще сделать, прежде чем я приступлю к обновлениям???
Вот скрипт: http://webfile.ru/5197806 |
Ads | |
17.03.2011, 06:55 | #9 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log'); BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log'); end; begin BC_ServiceKill('pymthivgp'); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); ClearHostsFile; RebootWindows(false); end. Imaginarys, у Вас Kido, проверьтесь KIdokiller -ом, ну и ставим заплатки против Kido. |
17.03.2011, 21:10 | #10 (ссылка) |
Новичок
Регистрация: 10.10.2009
Сообщений: 347
Репутация: 3
|
Выполнил скрипт. Почитал about Kido. Поставил необходимые заплатки против оного. Просканил Kido-killerom: на обеих флешках нашел по зловреду(autorun.inf), больше ничего.
Сделал скрипт сбора информации: http://webfile.ru/5200142 Визуально проблем не наблюдаю. Что скажете вы? |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|