Решена 354 подозрений AVZ

Тема в разделе "Лечение компьютерных вирусов", создана пользователем siv21102, 14 мар 2012.

Статус темы:
Закрыта.
  1. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Здравствуйте многоуважаемые специалисты.
    Был у вас буквально вчера. Сегодня новая жертва нашествия вирусяков.
    Поглядите пожалуйста
     

    Вложения:

  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую siv21102, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.953
    Зря в MBAM поудаляли. Сбили картину заражения.

    Подготовьте лог UVS
     
  4. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Прошу прощения, больше не буду удалять, просто малварю ждать приходится по долгу :)
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Выполните скрипт в uVS и пришлите карантин, как описано тут

    Код (Text):
    ;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1

    delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\OPERA\OPERA\TEMPORARY_DOWNLOADS\INSTALL_READER10_EN_CHRD_AIH.EXE
    delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\NETPROTOCOL.EXE
    ; C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
    addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8

    zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE

    zoo %SystemRoot%\OKYYA.SYS
    chklst
    delvir
    deltmp
    delnfr
    czoo
    restart
    Добавлено через 59 минут 28 секунд
    OLORJAJOYJ0.EXE - Backdoor.Win32.Gbot.vet

    Делайте повторные логи RSIT и uVS
     
    1 человеку нравится это.
  6. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Ответил:

     
  8. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    не заметил сразу дописанную инфу
     

    Вложения:

  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Выполняем скрипт в uVS, затем повторяем лог RSIT

    Код (Text):
    ;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1

    ; C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
    addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8

    bl 18A103BEDC8D8B7F21781006B812A89C 185856
    delall C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
    chklst
    delvir
    deltmp
    delnfr
    restart
     
  10. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    ГОТОВО
     

    Вложения:

    • log.txt
      Размер файла:
      21,6 КБ
      Просмотров:
      1
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Эти папки и текстовый файл удалите вручную:

    2012-03-06 08:08:01 ----D---- C:\Users\Пользователь\AppData\Roaming\aLrazM8wvRskBlK
    2012-03-06 08:08:01 ----D---- C:\aLrazM8wvRskBlK
    2012-03-06 08:07:56 ----A---- C:\plg.txt
    2012-03-06 08:07:54 ----D---- C:\Users\Пользователь\AppData\Roaming\un3U9R5Ht4nqx9e
    2012-03-06 08:07:54 ----D---- C:\un3U9R5Ht4nqx9e
    2012-03-06 08:07:47 ----D---- C:\9vO3wAguztZDiua
    2012-03-06 08:07:46 ----D---- C:\Users\Пользователь\AppData\Roaming\9vO3wAguztZDiua
     
  12. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.953
    И не забудьте сменить все пароли юзеру.
     
  13. siv21102
    Оффлайн

    siv21102 Активный пользователь

    Сообщения:
    206
    Симпатии:
    4
    Спасибо!
     
Статус темы:
Закрыта.

Поделиться этой страницей