• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Вирус

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#1
Поймал вирус пока меня не было соседка решила вставить флешку и вот результат: появились файлы которых я Вообще не встречал и прописался так же в папку RECYRCER или как-то так
Файлы обнаруженные в диспечере: e5188982,mp1lmq2,uffive92
Логи RSIT и AVZ прилагаю MBAM Сканирует.

P.S Avz не обновляется пишет ошибку.
Если что могу еще сделать сканирование Dr.web CureIt
MBAM еще крикнул о файле UFFIVE92.EXE я кинул в карантин ради безопасности.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую TheAssassin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#3
Дополнил файл.
 

Вложения

  • 12.2 KB Просмотры: 0

akok

Команда форума
Администратор
Сообщения
13,742
Симпатии
11,575
#4
Необходимо обновить базы AVZ и переделать логи.
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#5
Необходимо обновить базы AVZ
Попробовал еще раз не обновляет пишет ошибку:
Ошибка в ходе автоматического обновления-Ошибка загрузки файла с описанием обновлении avzupd.zip с (ссылка) [21,00002EFF]
 

akok

Команда форума
Администратор
Сообщения
13,742
Симпатии
11,575
#7
То, что нашел MBAM можно удалить.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 if ExecuteAVUpdateEx('http://avz.safezone.cc/base/', 0, '','','') then
  AddToLog('Обновление AV баз (по настройкам IE) успешно выполнено');
end.
Добавлено через 33 секунды
Или скачайте обновления авз архивом http://z-oleg.com/secur/avz_up/avzbase.zip затем распакуете в папку Base
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#8
Прошу прощение до меня дошло что можно обновление скачать, вот лог заного.
 

Вложения

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#9
Эм по поводу MBAM я когда делал темку про Autorun.inf мне сказали чтобы я не трогал некоторые файлы это:
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011663.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011671.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP22\A0011719.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011735.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011746.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0011778.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0012776.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP23\A0014845.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\System Volume Information\_restore{B52F23C3-2EF4-417F-8483-FB7A1EC6F9B3}\RP42\A0027036.exe (Backdoor.IRCBot) -> Действие не было предпринято.

Добавлено через 13 минут 18 секунд
И что мне делать с файлом который в карантине?
 

akok

Команда форума
Администратор
Сообщения
13,742
Симпатии
11,575
#10
В последнем карантине ничего нет. В первом карантине лежал
Win32.HLLW.Autoruner.17766 (Trojan-Downloader.Win32.Injecter.jjp). Сейчас посмотрю лог.

Добавлено через 11 минут 3 секунды
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\User\Application Data\Lyusud.exe',' ');
 QuarantineFile('C:\Documents and Settings\User\Application Data\15.tmp',' ');
 QuarantineFile('C:\Documents and Settings\User\Application Data\Lyusud.exe',' ');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe','');
 QuarantineFile('C:\WINDOWS\Temp\jline_git-Bukkit-1_1-R3-b1846jnks.dll','');
 QuarantineFile('c:\windows\system32\java.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\Lyusud.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe');
 DeleteFileMask('C:\Documents and Settings\User\Application Data', '*.tmp', false);
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
ExecuteRepair(16);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Добавлено через 2 минуты 5 секунд
Повторите логи AVZ и RSIT. И нет нужнды прикладывать карантин к теме virusinfo_cure.zip
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#11
Перед тем как выполнить скрипт мне удалять все сейчас что нашел в MBAM или после скрипта? и файл uffive92.exe он попался в карантин во время сканирование может он просто не попал в лог и вы его не заметили
 

akok

Команда форума
Администратор
Сообщения
13,742
Симпатии
11,575
#12
файл uffive92.exe он попался в карантин во время сканирование может он просто не попал в лог и вы его не заметили
Win32.HLLW.Autoruner.17766 (Trojan-Downloader.Win32.Injecter.jjp).
Давайте по очереди тогда:
1. Выполняем скрипт AVZ
2. Готовим новый лог MBAM (старое сканирование можно закрыть)
3. Готовим логи AVZ и RSIT.
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#13
Выполнил скрипт в диспечере появился файл TASKMAN.EXE ну теперь я понимаю что он по идее запускает вирус,а если его удалить (я знаю где он нходиться) ничто не случиться???

P.S. уже как 15 минут загружается на сайте и не грузит может можно как-то по другому?
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,742
Симпатии
11,575
#14
Выполнил скрипт в диспечере появился файл TASKMAN.EXE ну теперь я понимаю что он по идее запускает вирус,а если его удалить (я знаю где он нходиться) ничто не случиться???
Файл TASKMAN.EXE проверьте на www.virustotal.com ссылку на результат запостите.

Добавлено через 12 секунд
Лог MBAM готовите?

Добавлено через 49 секунд
P.S. уже как 15 минут загружается на сайте и не грузит может можно как-то по другому?
Карантин через форму?

Попробуем так:
quarantine<at>virusnet.info (at=@) в заголовке (теме) письма укажите ссылку на тему.
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#15
Mbam уже сканирует и еще мин 10 надо,а файл TASKMAN.EXE 0/43 тогда вопрос почему запустился taskman когда удалили часть вируса у меня он тоже запускался когда я лечил Autorun.inf мне посоветовали в реестаре там значение ему изменить и все. Комп вылечен был,мне просто интересно что делает тогда taskman.exe?

Добавлено через 5 минут 45 секунд
Да карантин кидал через форму,а вот поповоду
Попробуем так:
quarantine<at>virusnet.info (at=@) в заголовке (теме) письма укажите ссылку на тему.
Я чето не соовсем понял надо прописать это в адресной строке или что?
 

akok

Команда форума
Администратор
Сообщения
13,742
Симпатии
11,575
#16
запустился taskman когда удалили часть вируса у меня он тоже запускался когда я лечил Autorun.inf мне посоветовали в реестаре там значение ему изменить и все. Комп вылечен был,мне просто интересно что делает тогда taskman.exe?
Зловред подменил в реестре путь до диспетчера задач. Сейчас по ctr+alt+delete что открывается?

На quarantine@virusnet.info отправьте сообщение в теме которого необходимо указать
Код:
TheAssassin|http://safezone.cc/forum/showthread.php?t=17290
 

TheAssassin

Активный пользователь
Сообщения
301
Симпатии
95
#19
Полазил по старой моей теме может мне просто очистить значение Taskman?
 

akok

Команда форума
Администратор
Сообщения
13,742
Симпатии
11,575
#20
Полазил по старой моей теме может мне просто очистить значение Taskman?
А что делал в скрипте AVZ?

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe 
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe 
H:\RECYCLER\e5188982.exe

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lyusud]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\elmq5]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\five922]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.