Решена 354 подозрений AVZ

siv21102 · 14 Мар 2012

Здравствуйте многоуважаемые специалисты.
Был у вас буквально вчера. Сегодня новая жертва нашествия вирусяков.
Поглядите пожалуйста

Ботан · 14 Мар 2012

Приветствую siv21102, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

__________________________________________________
С уважением, администрация SafeZone.

akok · 14 Мар 2012

Зря в MBAM поудаляли. Сбили картину заражения.

Подготовьте лог UVS

siv21102 · 14 Мар 2012

Прошу прощения, больше не буду удалять, просто малварю ждать приходится по долгу

Severnyj · 14 Мар 2012

Выполните скрипт в uVS и пришлите карантин, как описано тут

Код:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\OPERA\OPERA\TEMPORARY_DOWNLOADS\INSTALL_READER10_EN_CHRD_AIH.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\NETPROTOCOL.EXE
; C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 

zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE

zoo %SystemRoot%\OKYYA.SYS
chklst
delvir
deltmp
delnfr
czoo
restart

Добавлено через 59 минут 28 секунд
OLORJAJOYJ0.EXE - Backdoor.Win32.Gbot.vet

Делайте повторные логи RSIT и uVS

siv21102 · 14 Мар 2012

Готово

Severnyj · 14 Мар 2012

Ответил:

Severnyj написал(а):
OLORJAJOYJ0.EXE - Backdoor.Win32.Gbot.vet (Касперский), W32/Zbot.EZ (Fortinet)
Делайте повторные логи RSIT и uVS

siv21102 · 14 Мар 2012

не заметил сразу дописанную инфу

Severnyj · 14 Мар 2012

Выполняем скрипт в uVS, затем повторяем лог RSIT

Код:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
addsgn 9252778A106AC1CC0BD4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B5466503E021E8A2FD3EC80F91449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 

bl 18A103BEDC8D8B7F21781006B812A89C 185856
delall C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\OLORJAJOYJ0.EXE
chklst
delvir
deltmp
delnfr
restart

siv21102 · 14 Мар 2012

ГОТОВО

Severnyj · 14 Мар 2012

Эти папки и текстовый файл удалите вручную:

2012-03-06 08:08:01 ----D---- C:\Users\Пользователь\AppData\Roaming\aLrazM8wvRskBlK
2012-03-06 08:08:01 ----D---- C:\aLrazM8wvRskBlK
2012-03-06 08:07:56 ----A---- C:\plg.txt
2012-03-06 08:07:54 ----D---- C:\Users\Пользователь\AppData\Roaming\un3U9R5Ht4nqx9e
2012-03-06 08:07:54 ----D---- C:\un3U9R5Ht4nqx9e
2012-03-06 08:07:47 ----D---- C:\9vO3wAguztZDiua
2012-03-06 08:07:46 ----D---- C:\Users\Пользователь\AppData\Roaming\9vO3wAguztZDiua

akok · 14 Мар 2012

И не забудьте сменить все пароли юзеру.

siv21102 · 14 Мар 2012

Спасибо!

Решена 354 подозрений AVZ

siv21102

Постоянный участник

Вложения

Ботан

Злостный спам-бот

akok

siv21102

Постоянный участник

Вложения

Severnyj

siv21102

Постоянный участник

Severnyj

siv21102

Постоянный участник

Вложения

Severnyj

siv21102

Постоянный участник

Вложения

Severnyj

akok

siv21102

Постоянный участник