• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена заражение бекдором виртуальной машины

Статус
В этой теме нельзя размещать новые ответы.

nanshakov

Активный пользователь
Сообщения
106
Симпатии
6
#1
вирус проник сегодня через вредоносный скрипт на сайте
логи в низу
подозрительны строчки


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru
O4 - HKLM\..\Run: [svchost32.exe] C:\WINDOWS\system32\svchost32.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
2010-04-24 11:38:10 ----A---- C:\AUTOEXEC.BAT
 

Вложения

nanshakov

Активный пользователь
Сообщения
106
Симпатии
6
#4
немогу.всеравно остается ехе(тоесть AVZ.COM.EXE)
 

nanshakov

Активный пользователь
Сообщения
106
Симпатии
6
#6
немогу скачать перезалейте (На данный момент иностранный трафик у этого файла превышает российский. Вы можете получить этот файл, только если посетите сайт наших рекламодателей, помогающих оплачивать наши сервера и каналы. Нажмите сюда, чтобы перейти к выбору рекламодателей.)
 

nanshakov

Активный пользователь
Сообщения
106
Симпатии
6
#8
по ссылке в низу архив в нем коплект логов.почистил в ручную.проверьте ничего не осталось ли
 

Вложения

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
#9
Там же можно через кнопку нажать сюда. Я так и скачал. У нас ограничение на форуме по размеру аттачей. Вирусы в автозапуске похоже ещё есть.
У вас стоит галка в Свойтвах папки--Вид--Скрывать расширения для зарегистрированных типов файлов? Если да то снимите и попробуйте переименовать АВЗ как я Вам говорил выше.
 

nanshakov

Активный пользователь
Сообщения
106
Симпатии
6
#10
после ручного удаления вирусов все заработало более менее стабильно ехешники запускаются.сейчас с авз работаю

Добавлено через 14 минут 2 секунды
тему можно закрывать

Добавлено через 7 минут 38 секунд
Там же можно через кнопку нажать сюда.
там фишинговая ссылка каспер в спарке с авастом так и кричит!
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.