Решена заражение бекдором виртуальной машины

Статус
В этой теме нельзя размещать новые ответы.

nanshakov

Постоянный участник
Сообщения
101
Реакции
4
вирус проник сегодня через вредоносный скрипт на сайте
логи в низу
подозрительны строчки


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru
O4 - HKLM\..\Run: [svchost32.exe] C:\WINDOWS\system32\svchost32.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
2010-04-24 11:38:10 ----A---- C:\AUTOEXEC.BAT
 

Вложения

  • rsit.rar
    rsit.rar
    9.2 KB · Просмотры: 4
немогу запустить не один exe фаил
 
немогу.всеравно остается ехе(тоесть AVZ.COM.EXE)
 
немогу скачать перезалейте (На данный момент иностранный трафик у этого файла превышает российский. Вы можете получить этот файл, только если посетите сайт наших рекламодателей, помогающих оплачивать наши сервера и каналы. Нажмите сюда, чтобы перейти к выбору рекламодателей.)
 
по ссылке в низу архив в нем коплект логов.почистил в ручную.проверьте ничего не осталось ли
 

Вложения

  • rsit.rar
    rsit.rar
    8.8 KB · Просмотры: 1
Там же можно через кнопку нажать сюда. Я так и скачал. У нас ограничение на форуме по размеру аттачей. Вирусы в автозапуске похоже ещё есть.
У вас стоит галка в Свойтвах папки--Вид--Скрывать расширения для зарегистрированных типов файлов? Если да то снимите и попробуйте переименовать АВЗ как я Вам говорил выше.
 
после ручного удаления вирусов все заработало более менее стабильно ехешники запускаются.сейчас с авз работаю

Добавлено через 14 минут 2 секунды
тему можно закрывать

Добавлено через 7 минут 38 секунд
Там же можно через кнопку нажать сюда.
там фишинговая ссылка каспер в спарке с авастом так и кричит!
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу