• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена 354 подозрений AVZ

Статус
В этой теме нельзя размещать новые ответы.

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
Здравствуйте многоуважаемые специалисты.
Был у вас буквально вчера. Сегодня новая жертва нашествия вирусяков.
Поглядите пожалуйста
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую siv21102, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

akok

Команда форума
Администратор
Сообщения
19,281
Реакции
13,320
Баллы
2,203
Зря в MBAM поудаляли. Сбили картину заражения.

Подготовьте лог UVS
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Выполните скрипт в uVS и пришлите карантин, как описано тут

Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\OPERA\OPERA\TEMPORARY_DOWNLOADS\INSTALL_READER10_EN_CHRD_AIH.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\NETPROTOCOL.EXE
; C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 

zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE

zoo %SystemRoot%\OKYYA.SYS
chklst
delvir
deltmp
delnfr
czoo
restart
Добавлено через 59 минут 28 секунд
OLORJAJOYJ0.EXE - Backdoor.Win32.Gbot.vet

Делайте повторные логи RSIT и uVS
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Выполняем скрипт в uVS, затем повторяем лог RSIT

Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 

bl 18A103BEDC8D8B7F21781006B812A89C 185856
delall C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
chklst
delvir
deltmp
delnfr
restart
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
ГОТОВО
 

Вложения

  • 21.6 KB Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Эти папки и текстовый файл удалите вручную:

2012-03-06 08:08:01 ----D---- C:\Users\Пользователь\AppData\Roaming\aLrazM8wvRskBlK
2012-03-06 08:08:01 ----D---- C:\aLrazM8wvRskBlK
2012-03-06 08:07:56 ----A---- C:\plg.txt
2012-03-06 08:07:54 ----D---- C:\Users\Пользователь\AppData\Roaming\un3U9R5Ht4nqx9e
2012-03-06 08:07:54 ----D---- C:\un3U9R5Ht4nqx9e
2012-03-06 08:07:47 ----D---- C:\9vO3wAguztZDiua
2012-03-06 08:07:46 ----D---- C:\Users\Пользователь\AppData\Roaming\9vO3wAguztZDiua
 

akok

Команда форума
Администратор
Сообщения
19,281
Реакции
13,320
Баллы
2,203
И не забудьте сменить все пароли юзеру.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу