Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Китайцы атакуют?

Ответить
Настройки темы
Китайцы атакуют?

Пользователь


Сообщения: 118
Благодарности: 1

Профиль | Отправить PM | Цитировать


Изменения
Автор: chrom-look
Дата: 20-02-2010
Аналогичная проблема (http://forum.oszone.net/thread-167953.html) Вчера вечером видно зашел на какой-то сайт, после чего антивирус стал выдавать сообщения что адрес заблокирован.


Заблокировал в файрволе этот ip, сообщения исчезли) А на антивирусные сайты не заходит. Помогите удалить заразу...Антивирус ничего не находит. Сам вручную нашел в папке system32 2 странных файла, пусто набор символов exe файлы. Стер их, не помогло...
P.S. Сам ESET не хочет обновляться с офф. сайта. Выдает ошибку.

Прощу прощения, по инструкции сделать ничего не могу, потому что из-за вируса мне эти файлы не скачать...

Отправлено: 13:19, 20-02-2010

 

Пользователь


Сообщения: 118
Благодарности: 1

Профиль | Отправить PM | Цитировать


Ок, ясно. Также хочу сказать, что искал утром как побороть эту заразу, нашел на каком-то сайте, что должны быть файлы в system32, и тот файл который в скрипте: "C:\WINDOWS\system32\755e7d21.exe" я его уже удалил, правда еще лежит в корзине. Мне его восстановить и проделать опперацию? Потом нашел файл в папке Prefetch под названием "ROUTE.EXE-371D32DE.pf". Его тоже удалил. Также был ехе файл в систем32: YoC4q0q.exe...

Отправлено: 19:31, 20-02-2010 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


chrom-look, Вы сделаете лог gmer и все проблемные файлы мы увидим, не переживайте. Отпустим живого и здорового.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:43, 20-02-2010 | #12


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


chrom-look, Делайте всё по порядку . Не нужно перескакивать, а то и сами запутаетесь и нас запутаете. ))

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 19:52, 20-02-2010 | #13


Пользователь


Сообщения: 118
Благодарности: 1

Профиль | Отправить PM | Цитировать


МБАМ лог

Последний раз редактировалось chrom-look, 28-06-2014 в 02:47.


Отправлено: 17:19, 21-02-2010 | #14


Странствующий хэлпер


Сообщения: 2242
Благодарности: 634

Профиль | Отправить PM | Цитировать


Удалите в МВАМ
Код: Выделить весь код
Заражено ключей реестра:
HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\generic host for win32 services (Trojan.Agent) -> No action taken.

Заражено папок:
C:\Program Files\ConnectionServices (Trojan.BHO) -> No action taken.

Заражено файлов:
C:\Documents and Settings\Денис\Мои документы\Хлам\Для сайтов (взлом)\XRumep3\XRumep3\XRumep 3\control.exe (Trojan.FakeAlert) -> No action taken.
C:\Program Files\ConnectionServices\Uninstall.exe (Trojan.BHO) -> No action taken.
C:\Program Files\ConnectionServices\Содержание OneNote.onetoc2 (Trojan.BHO) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи

Это сообщение посчитали полезным следующие участники:

Отправлено: 20:04, 21-02-2010 | #15


Пользователь


Сообщения: 118
Благодарности: 1

Профиль | Отправить PM | Цитировать


да я уже все стер как мне сказали в посте на 1ой странице. Сейчас 4 часа длится проверка прогой GMER. Перед ней я выполнил скрипт в AVZ, после которого у меня все заработало! Антивирус обновился, на сайты заходит, файлы качает.

Отправлено: 21:13, 21-02-2010 | #16


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


chrom-look, Это нужно для страховки, потому что в первых логах есть такая строка. А это kido.
Цитата:
>>> Подозрение на маскировку ключа реестра службы\драйвера "dutdccdcz"

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 21:34, 21-02-2010 | #17


Пользователь


Сообщения: 118
Благодарности: 1

Профиль | Отправить PM | Цитировать


я понял)) Долго проверяется, наверно завтра вам отпишусь что с Gmer'ом и проделаю остальные операции!

Отправлено: 21:55, 21-02-2010 | #18


Пользователь


Сообщения: 118
Благодарности: 1

Профиль | Отправить PM | Цитировать


Вообщем манипуляции с Gmer'ом не увенчались успехом... 2 раза у меня вырубался комп, на 3ий раз (проверка длилась 9 часов), чтобы комп не вырубился я решил сделать в безопасном режиме. Была одная красная строка, связанная с svchost.exe. Лог сохранить не смог так как был в безопасном режиме... Щас сделал побыстрому, вот минилог, тут есть эта строка.
Приступаю к дальшейшим советам...

Последний раз редактировалось chrom-look, 28-06-2014 в 02:47.


Отправлено: 19:17, 22-02-2010 | #19


Пользователь


Сообщения: 118
Благодарности: 1

Профиль | Отправить PM | Цитировать


Пофиксил 2 ключа в HiJackThis, 1ый и последний, второго и третьего не было.

Отправлено: 19:22, 22-02-2010 | #20



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Китайцы атакуют?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Истории из жизни: ламеры атакуют ShaddyR Юмор 985 24-12-2024 05:14
Китайцы неохотно покупают iPhone OSZone News Новости информационных технологий 1 13-12-2009 11:03
Кажется меня атакуют вирусы, помогите мне избавится! Issida Лечение систем от вредоносных программ 1 11-07-2009 12:11
Китайцы сделали камеру с разрешением 5,5 Терапикселя! OSZone News Новости железа 6 22-02-2008 17:43
Китайцы перешли на пингвина, а мы что хуже ? rfcr Новости и флейм из мира *nix 9 27-09-2005 09:06




 
Переход