Решена Вирус

Тема в разделе "Лечение компьютерных вирусов", создана пользователем TheAssassin, 13 мар 2012.

  1. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Поймал вирус пока меня не было соседка решила вставить флешку и вот результат: появились файлы которых я Вообще не встречал и прописался так же в папку RECYRCER или как-то так
    Файлы обнаруженные в диспечере: e5188982,mp1lmq2,uffive92
    Логи RSIT и AVZ прилагаю MBAM Сканирует.

    P.S Avz не обновляется пишет ошибку.
    Если что могу еще сделать сканирование Dr.web CureIt
    MBAM еще крикнул о файле UFFIVE92.EXE я кинул в карантин ради безопасности.
     

    Вложения:

    • log.txt
      Размер файла:
      28,7 КБ
      Просмотров:
      8
    • virusinfo_syscure.zip
      Размер файла:
      36,6 КБ
      Просмотров:
      4
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую TheAssassin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Дополнил файл.
     

    Вложения:

    • info.txt
      Размер файла:
      12,2 КБ
      Просмотров:
      0
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Необходимо обновить базы AVZ и переделать логи.
     
  5. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Попробовал еще раз не обновляет пишет ошибку:
    Ошибка в ходе автоматического обновления-Ошибка загрузки файла с описанием обновлении avzupd.zip с (ссылка) [21,00002EFF]
     
  6. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    MBAM лог
     

    Вложения:

  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    То, что нашел MBAM можно удалить.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     if ExecuteAVUpdateEx('http://avz.safezone.cc/base/', 0, '','','') then
      AddToLog('Обновление AV баз (по настройкам IE) успешно выполнено');
    end.
    Добавлено через 33 секунды
    Или скачайте обновления авз архивом http://z-oleg.com/secur/avz_up/avzbase.zip затем распакуете в папку Base
     
    2 пользователям это понравилось.
  8. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Прошу прощение до меня дошло что можно обновление скачать, вот лог заного.
     

    Вложения:

  9. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Эм по поводу MBAM я когда делал темку про Autorun.inf мне сказали чтобы я не трогал некоторые файлы это:
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011663.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011671.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011719.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011735.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011746.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011778.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0012776.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0014845.exe (Backdoor.IRCBot) -> Действие не было предпринято.
    C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP42\A0027036.exe (Backdoor.IRCBot) -> Действие не было предпринято.

    Добавлено через 13 минут 18 секунд
    И что мне делать с файлом который в карантине?
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    В последнем карантине ничего нет. В первом карантине лежал
    Win32.HLLW.Autoruner.17766 (Trojan-Downloader.Win32.Injecter.jjp). Сейчас посмотрю лог.

    Добавлено через 11 минут 3 секунды
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\User\Application Data\Lyusud.exe',' ');
     QuarantineFile('C:\Documents and Settings\User\Application Data\15.tmp',' ');
     QuarantineFile('C:\Documents and Settings\User\Application Data\Lyusud.exe',' ');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe','');
     QuarantineFile('C:\WINDOWS\Temp\jline_git-Bukkit-1_1-R3-b1846jnks.dll','');
     QuarantineFile('c:\windows\system32\java.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\Lyusud.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe');
     DeleteFileMask('C:\Documents and Settings\User\Application Data', '*.tmp', false);
    RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
    ExecuteRepair(16);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы

    Добавлено через 2 минуты 5 секунд
    Повторите логи AVZ и RSIT. И нет нужнды прикладывать карантин к теме virusinfo_cure.zip
     
  11. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Перед тем как выполнить скрипт мне удалять все сейчас что нашел в MBAM или после скрипта? и файл uffive92.exe он попался в карантин во время сканирование может он просто не попал в лог и вы его не заметили
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Давайте по очереди тогда:
    1. Выполняем скрипт AVZ
    2. Готовим новый лог MBAM (старое сканирование можно закрыть)
    3. Готовим логи AVZ и RSIT.
     
  13. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Выполнил скрипт в диспечере появился файл TASKMAN.EXE ну теперь я понимаю что он по идее запускает вирус,а если его удалить (я знаю где он нходиться) ничто не случиться???

    P.S. уже как 15 минут загружается на сайте и не грузит может можно как-то по другому?
     

    Вложения:

    • log.txt
      Размер файла:
      28,8 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      12,2 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      29,9 КБ
      Просмотров:
      2
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Файл TASKMAN.EXE проверьте на www.virustotal.com ссылку на результат запостите.

    Добавлено через 12 секунд
    Лог MBAM готовите?

    Добавлено через 49 секунд
    Карантин через форму?

    Попробуем так:
    quarantine<at>virusnet.info (at=@) в заголовке (теме) письма укажите ссылку на тему.
     
  15. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Mbam уже сканирует и еще мин 10 надо,а файл TASKMAN.EXE 0/43 тогда вопрос почему запустился taskman когда удалили часть вируса у меня он тоже запускался когда я лечил Autorun.inf мне посоветовали в реестаре там значение ему изменить и все. Комп вылечен был,мне просто интересно что делает тогда taskman.exe?

    Добавлено через 5 минут 45 секунд
    Да карантин кидал через форму,а вот поповоду
    Я чето не соовсем понял надо прописать это в адресной строке или что?
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Зловред подменил в реестре путь до диспетчера задач. Сейчас по ctr+alt+delete что открывается?

    На quarantine@virusnet.info отправьте сообщение в теме которого необходимо указать
    Код (Text):
    TheAssassin|http://safezone.cc/forum/showthread.php?t=17290
     
  17. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Диспечер задач Windows

    Добавлено через 47 секунд
    и что надо сделать по ссылке кинуть карантин?
     
  18. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Прилагаю MBAM.
     

    Вложения:

  19. TheAssassin
    Оффлайн

    TheAssassin Активный пользователь

    Сообщения:
    301
    Симпатии:
    95
    Полазил по старой моей теме может мне просто очистить значение Taskman?
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    А что делал в скрипте AVZ?

    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe
    H:\RECYCLER\e5188982.exe

    :Reg
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lyusud]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\elmq5]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\five922]

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     

Поделиться этой страницей