|
Блокер баннер
Доброго времени суток.
Такая проблема подцепил триппер порно баннер, просит внести деньги через мультикассу на номер 89854360023 в размере 500 р. Зашел через Live CD подредактировал файл hosts там была одна запись ввиде какой то 1. Ребутнулся и тыкнув на учетку администратора (она одна на ПК) зашел в систему. Касперский нашел этот самый баннер по пути c:\users\администратор\AppData\Local\Opera\Opera\Temporary_downloads и собственно бахнул, но попросил ребутнутся. Система ругнулась на какой то файл ole32.dll по моему и перезагрузилась. Сейчас обнаружил что не запускается и его даже нет при нажатии ctrl+alt+delete диспетчера задач. При вводе в строке выполнить taskmgr выходит калькулятор. Лог сделал в AVZ вот собственно ссылка http://ifolder.ru/21739012 подскажите как удалить полностью заразу и ее последствия? Временные папки и все папки temp, а также весь кэш оперы отчистил. ОС 7 x64 |
Добрый день.
Запускаем редактор реестра (набрать пуск-выполнить - regedit и нажать Enter) находим [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="путь_к_файлу" если есть - удаляем параметр Shell Затем ищем [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="путь_к_файлу" и изменяем параметр на Explorer.exe Важно! При редактировании реестра внимательно смотреть какой параметр Shell удалять, а какой править! AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
beginlog.txt, info.txt от утилиты RSIT |
maniy77,
Спасибо приду домой, вечерком все сделаю, подскажите пож-ста согласно логу от AVZ там написано что у меня включен автозапуск, c$, а также IE хотя я его отключил в установке компонентов Windows, так как же он тогда работает? |
Цитата:
что касается остального, делайте логи - все просмотрим, пролечим, закроем потенциальные уязвимости и откорректируем безопасность по вашему желанию зловреды могут включать потенциально опасные службы Windows, разрешают отправку сообщения удаленному помощнику, блокируют реестр, диспечер задач..вобщем, надо смотреть логи смените важные пароли! |
maniy77,
Вы говорите что поменять значение и смотреть какой именно Shell я удаляю, а какой правлю, но у меня он там один и так со значением explorer.exe Видимо менять ничего не надо или надо? В реестре было значение calc.exe я его поменял на taskmgr.exe, но теперь пишет вот такую ошибку http://rghost.ru/4242115/image.png Как теперь вернуть диспетчер? maniy77, Выполнил данный скрипт, ноутбук все закрыл и ребутнулся, скажите для чего он и что он делает? Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем >> Блокировка диспетчера задач >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME >> Обнаружен отладчик системного процесса Вот это все хочу исправить как это сделать? Вот собственно лог http://exfile.ru/155776 |
Скачайте AVZ v4.35 и подготовьте логи по правилам раздела
Скачайте RSITx64 или с зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
|
Прикрепите логи virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG в AVZ.
Цитата:
Прикрепите полученные логи log.txt и info.txt. |
Я вам не смогу помочь, если вы не выложите нужные мне логи.
Цитата:
Цитата:
Цитата:
Цитата:
|
zirreX, maniy77,
Я сранительно не давно на этом форуме, поэтому хочу спросить, как к сообщению прикрепить логи? И у меня вопрос, как это AVZ мне выдал лог в котором он пишет про IE если я его удалил как компонент windows? Как его вапще удалить? |
Цитата:
•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe. |
Так логи Combofix выложу вечером, так как ноут дома...
Вот логи avz |
А насчет IE не кто не подскажет?
|
iskander-k,
Вот собственно лог сделанный combofix |
А почему лог обрезан ? не переживайте секретных ваших данных там не может быть.
И лог АВЗ тоже не тот - нужны зип-папки из папки LOG. Внимательно читайте правила. И что с проблемой ? |
Да как таковых проблем уже нету, я просто посчитал нужным провериться до конца, может остались какие то остатки зловреда...
Не знаю, вот такой лог был в папке C:\ComboFix.txt А avz как сделать лог? Я запускаю сканирование, после этого захожу файл\сохранить протокол, правильно? Ну и вот сюда выложил...может сервис на форуме подглючивает? Может выложить лог на стороний файлообменик? |
Цитата:
|
maniy77,
Спасибо, приду домой сделаю. Только у меня нету IE и вапще уже который раз спрашиваю, как его можно удалить навсегда? |
IE входит в комплект операционных систем семейства Windows, зачем удалять? На сегодняшний день последней стабильной версией браузера является Internet Explorer 8. Если не нравится, пользуйтесь другим браузером
|
maniy77,
Затем, потому что эта дыра через которую сочиться вирусня! Насчет стабильности уж точно сказать не могу, так как у меня в домене 1500 пользователей и многие сидят на IE и геморра каждый день хватает... Ошибка сценария и прочее херня... |
У меня обнаружилась проблема с фаром, есть установщик и два рег.файла которые добавляются в реестр.
Ну там увиличеный шрифт и кое что еще, линуксовый админ мне делал давно очень и все работало пока не было вирусни и после установки combofix |
вот скрин
|
Да почему не добавляется? Справа вижу что влодил файл как сделать чтоб он добавился сюда?
|
|
Вот логи avz и rsit
|
Цитата:
|
А что насчет логов скажете?
iskander-k, Ваша ссылка начинается со слов Внимание!, эта рекомендация будет работать только в Windows XP, а у меня 7 x64 Ultimate И опять же у меня проблемы не в командной строке, а именно в far |
Цитата:
Цитата:
|
Обновите Internet Explorer до IE8 , даже если им не пользуетесь. Если не будете следовать моим рекомендациям, и не обновите IE, лечение бессмысленно!
PerfectDisk' дефрагментатор - используете? если нет, то проверьте на http://www.virustotal.com файл Код:
C:\Windows\system32\PDBoot.exeОтключите: Компьютер от интернета/локальной сети Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
beginПроработайте утилитой kk.exe реестр: Пуск - Выполнить - cmd ввести kk.exe -z -a -j -l report.txt -v нажмите Enter файл отчета сохранится в папке с утилитой Далее, Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM.[/url] |
iskander-k,
Ок приду домой сделаю ;) maniy77, Да, использую PerfectDisk. И что делать если использую? У меня что кидокиллер? Но ведь я им тоже сканил ничего не нашел...странно Что дает данный скрипт? maniy77, И еще вопрос, а ничего что IE у меня как компонент windows забанен? maniy77, И ваша ссылка ведет на сайт майкрософта, но там нету моей OC 7 x64 |
|
Цитата:
Попробуйте переустановить Фар(удалить ! и снова установить) - возможно что-то снеслось утилитой при лечении. |
setwolk,
первое explorer это не только браузер, это часть операционной системы..и даже если вы удалили браузер это не значит что explorer a у вас нет, Цитата:
так что установите 8 дабы иметь последние обновления безопасности... а как браузером можете и не пользоваться. но установка обязательна! по поводу КК здесь его вам дали для исправления и восстановления служб и ключей если они были изменены.. по поводу отображения в фаре, во первых попробуйте сделать изменения в реестре ..не поможет верните обратно, второе просто переустановите фар кракозябры пошли из за того что комбо скорее всего удалил компонент фара, это могло произойти по двум причинам либо файл был инфицирован либо сборка (хак) который он посчитал зловредным. |
maniy77,
Ок тогда выполню только скрипт, раз такое дело. Не знал что из за PerfectDisk может быть такое и что не нужно делать проверку. А как это влияет? Я просто не могу уловить связь?! Arbitr, Остряк :) А если я установлю IE 8, но не буду пользоваться им как браузером, возможно ли что через него просочиться вирусня? To all совсем забыл сказать что переустановку я сделал, как только увидел глюк с фаром, то есть это было первоначальным решением, но к сожалению оно не помогло :( |
Цитата:
|
maniy77,
Скрипт выполнил, но машина сама не перегрузилась, насильно отправил в ребут, но глюк с фаром не исчез... iskander-k, А как ему залочить доступ в инет? iskander-k, Сходил сюда http://safezone.cc/forum/showthread.php?t=2204 как вы и дали ссылку, но у меня даже такой ветки реестра нету, точнее [HKEY_CURRENT_USER\Console\%systemroot%_system32_cmd.exe] и изменить параметр "CodePage"=dword:00000362 в ветке консоль нету такова значения... Мне посоветовали сделать рег файл вот такой Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage] "1250"="c_1251.nls" "1251"="c_1251.nls" "1252"="c_1251.nls" "1253"="c_1251.nls" "1254"="c_1251.nls" "1255"="c_1251.nls" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes] "Arial,0"="Arial,204" "Comic Sans MS,0"="Comic Sans MS,204" "Courier,0"="Courier New,204" "Courier,204"="Courier New,204" "Microsoft Sans Serif,0"="Microsoft Sans Serif,204" "Tahoma,0"="Tahoma,204" "Times New Roman,0"="Times New Roman,204" "Verdana,0"="Verdana,204" но он тоже не решил проблему, куда копать? |
Цитата:
Цитата:
|
iskander-k,
А если я пользуюсь каспером 6 версией, не подскажите как там это лочить? |
Цитата:
Лучше обновить на версию поновее. Насколько я помню эту версию - в сетевом экране запретите доступ в интернет, а также и другим приложениям Windows кроме Generic host process for win32 services . У generic host process for win32 services должен быть доступ в интернет для работы приложений в интернете . Подробнее о работе сетевого экрана в KIS 6 в справке к программе. Доступ в интернет должны иметь только те программы которыми вы работаете в сети. |
iskander-k,
В сети не какие программы кроме opera не работают, только update на виндовс java, и собственно все. Обновлять не рентабельно ибо тут купленный ключ |
iskander-k,
Подскажите пож-ста как именно сделать? Может скрин выложите, нет?! |
Цитата:
вот вам справка для кис 6 http://www.kaspersky.ru/docs?downlink=206912401 О переходе со старых версиях на новые читайте на сайте касперского http://www.kaspersky.ru/support |
iskander-k,
Дык я не смогу сменить так как ключ еще действующий! |
Ключи от касперского версии КИС6 подходят для КИС 6, КИС7, КИС2009(КИС8)
ОТ КИС 7 вплоть ДО КИС2010. |
iskander-k,
Оооо не знал... Так как вы модератор, скажите лучше новую тему создать или же здесь продолжить? Я насчет настройки IE и каспера, как запретить IE ходить в инет через firewall каспера? Виндовый у меня выключен, при установке касперского он спрашивал отключить или нет, я спрашивал на этом форуме и мне посоветовали что firewall касперского лучше, виндового! |
В справке посмотрите . И запретите IE сетевую активность.
В справке страница 159 рисунок 45 с чекбокса (напротив приложения которому нужно запретить доступ к интернету ) снимите галку. Или прочитайте описание справки . Вы хоть просмотрите справку - ссылку я вам дал на скачивание справки. |
iskander-k,
Извините, но поковыряв тему не нашел ссылку на справку, киньте езе раз пож-ста! |
Цитата:
Цитата:
|
iskander-k,
Извините слепой... |
iskander-k,
Полистал справку, сделал вывод что возможно, это делается в Анти-Хакер, там в настройках, я добавляю в запрет лист IE8 как то так!? |
Цитата:
|
iskander-k,
А я слышал что нужно блокировать сетевую активность для iexplorer.exe в антихакере по всем портам и протоколам, вопрос какие порты и протоколы лочить? Я просто IE некогда не пользовался поэтому не знаю, через что он лазиит!? |
Просто запретите ему доступ в интернет.
|
iskander-k,
Спасибо |
| Время: 17:35. |
Время: 17:35.
© OSzone.net 2001-