• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена 354 подозрений AVZ

Статус
В этой теме нельзя размещать новые ответы.

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
Здравствуйте многоуважаемые специалисты.
Был у вас буквально вчера. Сегодня новая жертва нашествия вирусяков.
Поглядите пожалуйста
 

Вложения

  • hijackthis.log
    5.8 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    22.4 KB · Просмотры: 0
  • virusinfo_syscure.zip
    39.4 KB · Просмотры: 6
  • log.txt
    25 KB · Просмотры: 2
  • info.txt
    40.2 KB · Просмотры: 0
  • mbam-log-2012-03-14 (13-11-46).txt
    3.7 KB · Просмотры: 6

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую siv21102, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

akok

Команда форума
Администратор
Сообщения
19,402
Реакции
13,383
Баллы
2,203
Зря в MBAM поудаляли. Сбили картину заражения.

Подготовьте лог UVS
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
Прошу прощения, больше не буду удалять, просто малварю ждать приходится по долгу :)
 

Вложения

  • ПОЛЬЗОВАТЕЛЬ-ПК_2012-03-14_17-02-57.7z
    232.1 KB · Просмотры: 6

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Выполните скрипт в uVS и пришлите карантин, как описано тут

Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\OPERA\OPERA\TEMPORARY_DOWNLOADS\INSTALL_READER10_EN_CHRD_AIH.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\NETPROTOCOL.EXE
; C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 

zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE

zoo %SystemRoot%\OKYYA.SYS
chklst
delvir
deltmp
delnfr
czoo
restart

Добавлено через 59 минут 28 секунд
OLORJAJOYJ0.EXE - Backdoor.Win32.Gbot.vet

Делайте повторные логи RSIT и uVS
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
не заметил сразу дописанную инфу
 

Вложения

  • log.txt
    25 KB · Просмотры: 3
  • ПОЛЬЗОВАТЕЛЬ-ПК_2012-03-14_18-39-49.7z
    224 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Выполняем скрипт в uVS, затем повторяем лог RSIT

Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 

bl 18A103BEDC8D8B7F21781006B812A89C 185856
delall C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
chklst
delvir
deltmp
delnfr
restart
 

siv21102

Активный пользователь
Сообщения
201
Реакции
4
Баллы
408
ГОТОВО
 

Вложения

  • log.txt
    21.6 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,660
Баллы
753
Эти папки и текстовый файл удалите вручную:

2012-03-06 08:08:01 ----D---- C:\Users\Пользователь\AppData\Roaming\aLrazM8wvRskBlK
2012-03-06 08:08:01 ----D---- C:\aLrazM8wvRskBlK
2012-03-06 08:07:56 ----A---- C:\plg.txt
2012-03-06 08:07:54 ----D---- C:\Users\Пользователь\AppData\Roaming\un3U9R5Ht4nqx9e
2012-03-06 08:07:54 ----D---- C:\un3U9R5Ht4nqx9e
2012-03-06 08:07:47 ----D---- C:\9vO3wAguztZDiua
2012-03-06 08:07:46 ----D---- C:\Users\Пользователь\AppData\Roaming\9vO3wAguztZDiua
 

akok

Команда форума
Администратор
Сообщения
19,402
Реакции
13,383
Баллы
2,203
И не забудьте сменить все пароли юзеру.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу