Атакуют вирусы

@groza1808 · Регистрация: 15.07.2010

Author24 — интернет-сервис помощи студентам

Здравствуйте.Как только подключаюсь к сети,сразу НОД32 выдаёт сообщения такого плана и их очень много http://208.53.183.92/accounting.data модифицированный Win32/Injector.DPS троянская программа соединение прервано - изолирован. Логи прилагаю.

@zirreX · 03.12.2010, 18:02

Здравствуйте!

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\system32\05.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.

Сделайте повторные логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

@arbitr · 03.12.2010, 18:03

Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код

O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)

@akok · 03.12.2010, 21:24

в карантине

08.exe - P2P-Worm.Win32.Palevo.bjbb

@groza1808 · 04.12.2010, 09:11 **[ТС]**

Все сделала,вот новые логи.

@groza1808 · 04.12.2010, 09:38 **[ТС]**

Проблема не исчезла, при подключении снова НОД32 выдает сообщения о попытке проникновения вирусов.

@arbitr · 04.12.2010, 12:24

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\84.exe','');
 QuarantineFile('C:\WINDOWS\system32\74.exe','');
 QuarantineFile('C:\WINDOWS\system32\68.exe','');
 QuarantineFile('C:\WINDOWS\system32\58.exe','');
 QuarantineFile('C:\WINDOWS\system32\27.exe','');
 QuarantineFile('C:\WINDOWS\system32\06.exe','');
 QuarantineFile('C:\WINDOWS\is-S5RRR.exe','');
 DeleteFile('C:\WINDOWS\is-S5RRR.exe');
 DeleteFile('C:\WINDOWS\system32\06.exe');
 DeleteFile('C:\WINDOWS\system32\27.exe');
 DeleteFile('C:\WINDOWS\system32\58.exe');
 DeleteFile('C:\WINDOWS\system32\68.exe');
 DeleteFile('C:\WINDOWS\system32\74.exe');
 DeleteFile('C:\WINDOWS\system32\84.exe'); 
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','InnoSetupRegFile.0000000001');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

если после выполнения скрипта, проблем не буде то то повторите контрольные AVZ RSIt MBAM
если будут то
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Обращаю ваше внимание, комбо использовать только в том случае если проблема не исчезнет!

@groza1808 · 04.12.2010, 15:06 **[ТС]**

Скрипт в avz выполнила, проблема не исчезла. ComboFix скачала,но при запуске выдает сообщение об ошибке CFScript Name Error, Were you trying to run CFScript?The name CFScript appears to be incorrectly spelt.Пробовала переименовать combofix в combo-fix выдает тоже сообщение.

@zirreX · 04.12.2010, 16:03

ComboFix скачали на рабочий стол?Запускали с рабочего стола?
Если нет, то скачайте заново и сохраните на рабочем столе!Перед тем как запустить ComboFix выгрузите Nod32!
Придерживайтесь инструкций по использованию ComboFix

@groza1808 · 04.12.2010, 17:02 **[ТС]**

Все получилось,вот лог.

@zirreX · 04.12.2010, 17:20

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код

File::
C:\WINDOWS\system32\83.exe

RegLock::
[HKEY_USERS\S-1-5-21-1935655697-1788223648-515967899-500\Software\Microsoft\Internet Explorer\User Preferences]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

@groza1808 · 04.12.2010, 23:03 **[ТС]**

Подскажите как в дальнейшем можно избежать такого рода взломов?

@zirreX · 04.12.2010, 23:17

Удалите всё что нашел MBAM

Что с проблемой?

Добавлено через 4 минуты

Сообщение от groza1808

Подскажите как в дальнейшем можно избежать такого рода взломов?

1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все обновления и патчи Windows.
4.Регулярно обновляйте антивирусные базы.

@groza1808 · 05.12.2010, 08:48 **[ТС]**

Проблема исчезла,большое спасибо.

@arbitr · 05.12.2010, 11:58

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

@zirreX 392 / 306 / 5 Регистрация: 02.06.2010 Сообщений: 816
	04.12.2010, 23:17	13
	Удалите всё что нашел MBAM Что с проблемой? Добавлено через 4 минуты Сообщение от groza1808 Подскажите как в дальнейшем можно избежать такого рода взломов? 1.Всегда работайте только под обычным пользователем! 2.Используйте браузер Firefox с дополнением NoScript Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения 3.Устанавливайте все обновления и патчи Windows. 4.Регулярно обновляйте антивирусные базы. 1

@groza1808 0 / 0 / 0 Регистрация: 15.07.2010 Сообщений: 38
	05.12.2010, 08:48 [ТС]	14
	Проблема исчезла,большое спасибо. 0

@zirreX 392 / 306 / 5 Регистрация: 02.06.2010 Сообщений: 816
	03.12.2010, 18:02	2
	Здравствуйте! • Выполните скрипт AVZ Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\msvmiode.exe',''); QuarantineFile('C:\WINDOWS\system32\05.exe',''); QuarantineFile('C:\WINDOWS\system32\08.exe',''); DeleteFile('C:\WINDOWS\system32\08.exe'); DeleteFile('C:\WINDOWS\system32\05.exe'); DeleteFile('C:\WINDOWS\system32\msvmiode.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему. Сделайте повторные логи Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. 1

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	03.12.2010, 18:03	3
	Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file) 1

@akok 2824 / 842 / 29 Регистрация: 01.09.2009 Сообщений: 1,038
	03.12.2010, 21:24	4
	в карантине 08.exe - P2P-Worm.Win32.Palevo.bjbb 1

@groza1808 0 / 0 / 0 Регистрация: 15.07.2010 Сообщений: 38
	04.12.2010, 09:38 [ТС]	6
	Проблема не исчезла, при подключении снова НОД32 выдает сообщения о попытке проникновения вирусов. 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	04.12.2010, 12:24	7
	Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\84.exe',''); QuarantineFile('C:\WINDOWS\system32\74.exe',''); QuarantineFile('C:\WINDOWS\system32\68.exe',''); QuarantineFile('C:\WINDOWS\system32\58.exe',''); QuarantineFile('C:\WINDOWS\system32\27.exe',''); QuarantineFile('C:\WINDOWS\system32\06.exe',''); QuarantineFile('C:\WINDOWS\is-S5RRR.exe',''); DeleteFile('C:\WINDOWS\is-S5RRR.exe'); DeleteFile('C:\WINDOWS\system32\06.exe'); DeleteFile('C:\WINDOWS\system32\27.exe'); DeleteFile('C:\WINDOWS\system32\58.exe'); DeleteFile('C:\WINDOWS\system32\68.exe'); DeleteFile('C:\WINDOWS\system32\74.exe'); DeleteFile('C:\WINDOWS\system32\84.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','InnoSetupRegFile.0000000001'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. если после выполнения скрипта, проблем не буде то то повторите контрольные AVZ RSIt MBAM если будут то Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Обращаю ваше внимание, комбо использовать только в том случае если проблема не исчезнет! 1

@groza1808 0 / 0 / 0 Регистрация: 15.07.2010 Сообщений: 38
	04.12.2010, 15:06 [ТС]	8
	Скрипт в avz выполнила, проблема не исчезла. ComboFix скачала,но при запуске выдает сообщение об ошибке CFScript Name Error, Were you trying to run CFScript?The name CFScript appears to be incorrectly spelt.Пробовала переименовать combofix в combo-fix выдает тоже сообщение. 0

@zirreX 392 / 306 / 5 Регистрация: 02.06.2010 Сообщений: 816
	04.12.2010, 16:03	9
	ComboFix скачали на рабочий стол?Запускали с рабочего стола? Если нет, то скачайте заново и сохраните на рабочем столе!Перед тем как запустить ComboFix выгрузите Nod32! Придерживайтесь инструкций по использованию ComboFix 1

@zirreX 392 / 306 / 5 Регистрация: 02.06.2010 Сообщений: 816
	04.12.2010, 17:20	11
	Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код File:: C:\WINDOWS\system32\83.exe RegLock:: [HKEY_USERS\S-1-5-21-1935655697-1788223648-515967899-500\Software\Microsoft\Internet Explorer\User Preferences] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. http://virusnet.info/images/cfscript.gif Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. 1

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	05.12.2010, 11:58	15
	Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" http://virusnet.info/images/combofix-uninstall.jpg Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up 1

Опции темы