[SolarSpark]

Доброго дня, похвальная честность Логи посмотрю, отвечу в течении часа

[SolarSpark]

Обновите Internet Explorer до IE8

Проверьте сами на http://www.virustotal.com файл

Код:

C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe

ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Onun\ubso.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe','');
 QuarantineFile('C:\WINDOWS\arakrnl.exe','');
 DeleteFile('C:\WINDOWS\arakrnl.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Onun\ubso.exe');
 DelCLSID('{8BED665B-A34D-EA77-DF7C-D36926959B75}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{8BED665B-A34D-EA77-DF7C-D36926959B75}');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Onun', '*.*', true); 
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Onun');
 BC_ImportAll;
 DelAutorunByFileName('ubso.exe'); 
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Пофиксить в HijackThis следующие строчки:

Код:

O4 - HKCU\..\Run: [{8BED665B-A34D-EA77-DF7C-D36926959B75}] "C:\Documents and Settings\Admin\Application Data\Onun\ubso.exe"

Сделайте повторные логи AVZ + RSIR

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[SolarSpark]

Скрипт подправила,будьте внимательней
И раз уж вас посетил WinLock, настоятельно рекомендую сменить важные пароли.
Жду новые логи

[Клавесин]

Итак, доклады и выводы:

1. IE8 установил. Я правильно понимаю, что безопаснее и грамотнее пользоваться именно этим браузером?

2. Два файла по предложенному адресу проверил (хотя сейчас смотрю предыдуший пост... уже один, на всякий случай даю 2), ссылки:

ubso.exe

eBayShortcuts.exe

3. Применил предложенный скрипт и после перезагрузки все пришло на круги своя... Появился рабочий стол, правая кнопка мыши защелкала с прежним задором и панель управления твердо заняла положенное место!

4. Отправил в лабараторию касперского данный архив и вот что мне этот мужик пишет:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

arakrnl.exe - Trojan-Ransom.Win32.PornoBlocker.djd

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
Для разблокировки данной троянской программы Вы можете воспользоваться нашим сервисом:
http://support.kaspersky.ru/viruses/deblocker
http://support.kaspersky.ru/sms - с мобильных телефонов и коммуникаторов.

bcqr00003.dat,
bcqr00004.dat,
eBayShortcuts.exe

Вредоносный код в файлах не обнаружен.

ubso.exe

Файл в процессе обработки.

С уважением, Лаборатория Касперского

Пишет что вредоносный код в файле eBayShortcuts.exe не обнаружен хотя 25/43 антивирусных программ VirusTotal утверждают обратное...

5. Пофиксить в HijackThis у меня не получилось, так как при повторном skan такой надписи как я не пытался, а найти не смог.

6. Прошу поправить меня, если я где-то ошибся! И... Последние вопросы: Сейчас мой компьютер здоров?! Как мне впредь уберечь свой комп от подобного рода атак? Где я могу найти инфу по созданию скриптов и анализу файлов, получаемых вследствии запуска программ AVZ, HijackThis и RSIT?

Прикрепляю повторные логи:

[SolarSpark]

Цитата Клавесин:

Я правильно понимаю, что безопаснее и грамотнее пользоваться именно этим браузером? »

нет!
Рекомендуется для предотвращения заражения:
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)

Цитата Клавесин:

Пишет что вредоносный код в файле eBayShortcuts.exe не обнаружен хотя 25/43 антивирусных программ VirusTotal утверждают обратное... »

скорее всего, установился с какой нибудь программой, если настаиваете-удалим

проверю логи

[okshef]

Цитата maniy77:

- не использовать Internet Explorer »

обоснуйте

[Клавесин]

Важные пароли поменял... Скрипт я применил Ваш предыдущий и последние логи на основании примененного скрипта!

Я удивлен, что девушка осведомлена в таких сложных штуках как, скрипт, WinLock и т.д.! Мое почтение, уважение и благодарности Вам, как хрупкой девушке созидающей даже в такой, казалось бы мужской сфере информационных технологий!

[SolarSpark]

Цитата okshef:

обоснуйте »

слишком много уязвимостей, глубоко интегрирована в ось (имхо рекомендуем)

В логах чисто.

Для контроля
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Обновите Java до последней актуальной версии. Устаревшие версии несут в себе уязвимости, которые могут стать причиной заражения.
Для обновления Java Скачайте JavaRA здесь
Распакуйте, запустите, выберите "Remove Older Versions".
Подтвердите свое желание удалить старую версию Java нажав "ДА".
Закройте IE, если Вы его еще не закрыли и нажмите "OK".
После поиска и удаления Java машины программа создаст лог с отчетом.
Далее нажмите "Search For Updates"
Выберите "Update Using Sun Java's Website" и "Open Webpage"
Осталось только скачать и установить Java.
Или воспользоваться альтернативным вариантом - после удаления старой версии скачайте и установите последнюю версию с сайта производителя.
Java Runtime Environment (JRE)
Установить все возможные обновления продуктов Adobe, которые установлены на вашем компьютере или удалите их.

Далее
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

ну и на последок...

что из этого вам нужно?

Цитата:

Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Закроем уязвимости,дам вам скрипт

и все таки удалим, ибо не внушает доверия
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe');
BC_ImportAll;
DelAutorunByFileName('eBayShortcuts.exe'); 
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe');
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится

[SolarSpark]

Цитата Клавесин:

Где я могу найти инфу по созданию скриптов и анализу файлов, получаемых вследствии запуска программ AVZ, HijackThis и RSIT? »

приходите учиться ) http://forum.oszone.net/announcement-87-182.html на VirusNet