пожалуста посмотрите логи

grisha kuyujuklu · 02.06.2012, 19:58

ПРОПАДАЕТ ИНТЕРНЕТ (МОЖЕТ БЫТЬ КОГДА УГОДНО)
УКРАЛИ ПАРОЛЬ ОТ ОДНОКЛАССНИКОВ
карантин антивируса
http://pic2net.ru/view/v/58639067204...b6f856abbf.jpg
http://pic2net.ru/view/v/9b05306b972...f85bd906b8.jpg

LOG AVZ http://rghost.ru/38431614
LOG uVS http://rghost.ru/38433202
LOG RSIT http://rghost.ru/38432897

OC WINDOWS XP AMD X || 250GB 2 июня 2012 17.54

safety · 02.06.2012, 20:07

пара подозрительных файлов:

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\HLS13\GOOGLE.EXE
Имя файла GOOGLE.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

www.virustotal.com 2012-05-31 [2010-12-13 22:37:30 UTC ( 1 year, 5 months ago )]
Avast Win32:HLProxy-A [Trj]
Kaspersky HackTool.Win32.HLS.a
DrWeb Trojan.DownLoader5.37701
AntiVir PCK/Dumped

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Размер 1421312 байт
Создан 17.05.2011 в 17:02:04
Изменен 17.05.2011 в 17:02:04
Атрибуты СКРЫТЫЙ
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя hlserver.exe
Версия файла 1.17.0.0
Версия продукта 1.17.0.0
Описание Half-Life Server Application
Продукт Half-Life Server Application
Copyright [RTsK] Team
Производитель [RTsK] Team

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 47F52C3F9C1045C2CE2B3235D3E4A3CFF6EEF188
MD5 E4DB6BBD98252A921EAABDD1714088C6

и

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\HLS13\START.CMD
Имя файла START.CMD
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-04-07 [2012-02-05 10:51:44 UTC ( 3 months, 4 weeks ago )]
- Файл был чист на момент проверки.

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 114 байт
Создан 18.01.2012 в 11:46:00
Изменен 18.01.2012 в 11:46:00
Атрибуты СКРЫТЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка
SHA1 EE63B3313BA54817C11D8C3D5076F02B14D2D66D
MD5 A03006FA775B4EC874F4D43B9DD413D6

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msg
msg C:\WINDOWS\system32\hls13\start.cmd

второй файл в автозапуске. Что скажете о них?

grisha kuyujuklu · 02.06.2012, 23:19

Цитата:

Сообщение от safety

пара подозрительных файлов:

и

второй файл в автозапуске. Что скажете о них?

и что мне теперь делать япросто впервые

safety · 03.06.2012, 08:35

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\HLS13\GOOGLE.EXE
addsgn A7679B19919AF49EDE9DAE598858E4FA84AE06BF89711F90497D3943F1F28B05239CC3EDDA8FD449C3333E63B99D442E8696E8D37120F92CA6772F3A67BE6A73 9 Winlogon
delall %Sys32%\HLS13\GOOGLE.EXE
delall %Sys32%\HLS13\START.CMD
delref HTTP://NIGHTWAREZ.RU/
delall F:\WINDOWS\SYSTEM32\HLS12\START.CMD
delall E:\WINDOWS\SYSTEM32\HLS13\START.CMD
deltmp
delnfr
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

grisha kuyujuklu · 04.06.2012, 15:58

выполнил быстрое сканирование нашел 16 обектов
вот ЛОГ

Vvvyg · 04.06.2012, 16:26

KGB Keylogger сами устанавливали?

grisha kuyujuklu · 04.06.2012, 16:27

Цитата:

Сообщение от Vvvyg

KGB Keylogger сами устанавливали?

а что это такое и для чего это

Vvvyg · 04.06.2012, 16:30

Тогда удаляйте всё, кроме:

Код:

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

и выполняйте скрипт проверки уязвимостей в AVZ.

Hotab · 04.06.2012, 16:35

grisha kuyujuklu, KGB Keylogger используется в основном для слежки за детьми..Если вы не хотите этого,удалите программу!

grisha kuyujuklu · 04.06.2012, 17:08

удалил все кроме HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

выполнил скрипт в AVZ уязвимостей нету

Vvvyg · 04.06.2012, 17:11

Тогда закончим на этом.

grisha kuyujuklu · 04.06.2012, 17:35

спасибо

02.06.2012, 19:58	#1 (ссылка)
grisha kuyujuklu Новичок Регистрация: 02.06.2012 Сообщений: 6 Репутация: 0	пожалуста посмотрите логи ПРОПАДАЕТ ИНТЕРНЕТ (МОЖЕТ БЫТЬ КОГДА УГОДНО) УКРАЛИ ПАРОЛЬ ОТ ОДНОКЛАССНИКОВ карантин антивируса http://pic2net.ru/view/v/58639067204...b6f856abbf.jpg http://pic2net.ru/view/v/9b05306b972...f85bd906b8.jpg LOG AVZ http://rghost.ru/38431614 LOG uVS http://rghost.ru/38433202 LOG RSIT http://rghost.ru/38432897 OC WINDOWS XP AMD X \|\| 250GB 2 июня 2012 17.54

03.06.2012, 08:35	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\HLS13\GOOGLE.EXE addsgn A7679B19919AF49EDE9DAE598858E4FA84AE06BF89711F90497D3943F1F28B05239CC3EDDA8FD449C3333E63B99D442E8696E8D37120F92CA6772F3A67BE6A73 9 Winlogon delall %Sys32%\HLS13\GOOGLE.EXE delall %Sys32%\HLS13\START.CMD delref HTTP://NIGHTWAREZ.RU/ delall F:\WINDOWS\SYSTEM32\HLS12\START.CMD delall E:\WINDOWS\SYSTEM32\HLS13\START.CMD deltmp delnfr exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes

04.06.2012, 16:30	#8 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Тогда удаляйте всё, кроме: Код: HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. и выполняйте скрипт проверки уязвимостей в AVZ.

04.06.2012, 17:35	#12 (ссылка)
grisha kuyujuklu Новичок Регистрация: 02.06.2012 Сообщений: 6 Репутация: 0	7777 спасибо

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Посмотрите пожалуста логи	klimenkoab	Безопасность	6	15.04.2011 15:08
посмотрите логи пожалуста	Димон112	Безопасность	11	15.02.2011 19:38
посмотрите логи пожалуста	Димон112	Безопасность	8	06.02.2011 00:24
Посмотрите логи, пожалуста.	Барисыч	Безопасность	9	29.06.2010 21:38
Хочу убить tapi.info Посмотрите пожалуста логи в архиве virusinfo_syscure.zip	Puteec	Безопасность	4	12.02.2010 10:26

04.06.2012, 15:58	#5 (ссылка)
grisha kuyujuklu Новичок Регистрация: 02.06.2012 Сообщений: 6 Репутация: 0	выполнил быстрое сканирование нашел 16 обектов вот ЛОГ

04.06.2012, 16:26	#6 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	KGB Keylogger сами устанавливали?

04.06.2012, 16:35	#9 (ссылка)
Hotab Стажёр Регистрация: 10.11.2010 Сообщений: 1,904 Записей в блоге: 1 Репутация: 120	grisha kuyujuklu, KGB Keylogger используется в основном для слежки за детьми..Если вы не хотите этого,удалите программу!

04.06.2012, 17:08	#10 (ссылка)
grisha kuyujuklu Новичок Регистрация: 02.06.2012 Сообщений: 6 Репутация: 0	удалил все кроме HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. выполнил скрипт в AVZ уязвимостей нету

04.06.2012, 17:11	#11 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Тогда закончим на этом.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads