Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Украли пароли от фтп. (http://forum.oszone.net/showthread.php?t=230485)

blefdlyk@vk 15-03-2012 21:34 1880260
Украли пароли от фтп.
 
Вложений: 2
Я давно заметил необычную активность svchost'а, запущенного от пользователя, а не системы. Потом на системном диске появились папки с длинными нечитаемыми названиями. Но и это не заставило меня наконец-то всерьез заняться проблемой.
Теперь у меня украли пароли, которые хранились в Total Commander'e (По-крайней мере заразили два сайта, которые лежат на разных хостингах и связаны только тем что пароли от фтп хранились в тотале).
Кажется, пора уже принимать меры :(
Помогите, пожалуйста.

alex_sev 15-03-2012 22:24 1880289
Подготовьте логи XueTr и OSAM

blefdlyk@vk 16-03-2012 11:26 1880521
Вложений: 2
Готово

alex_sev 16-03-2012 12:00 1880551
Эти файлы и папки удалите вручную:

Код:
2012-02-20 00:50:20 ----D---- C:\XeJKRZCjZHdiAtA
2012-02-20 00:50:20 ----D---- C:\Users\Bluff\AppData\Roaming\XeJKRZCjZHdiAtA
2012-02-15 00:11:21 ----A---- C:\plg.txt
2012-02-15 00:11:19 ----D---- C:\Users\Bluff\AppData\Roaming\PU9OCG0OgQgJQTJ
2012-02-15 00:11:19 ----D---- C:\PU9OCG0OgQgJQTJ
2012-02-10 18:08:09 ----D---- C:\lT5tG6gd6zjJI42
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

blefdlyk@vk 16-03-2012 22:50 1880970
Вложений: 2
Готово. Объекты обнаруженные Malwarebytes' Anti-Malware пока не трогал.

iskander-k 16-03-2012 23:00 1880973
Удалите в МБАМ
Код:
HKCU\Software\Microsoft|setiasworld (Malware.Trace) -> Параметры: rcx3r3smglwbwl1s2eypp2wqc1wqhkb -> Действие не было предпринято.
HKCU\Software\Microsoft|bk (Malware.Trace) -> Параметры: -> Действие не было предпринято.
C:\Users\Bluff\AppData\Local\Temp\AB6F.tmp (Trojan.Agent.PE5) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056829.exe (Trojan.Downloader) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056903.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056921.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056922.exe (Trojan.Agent) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056923.exe (Trojan.Agent) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056924.exe (Trojan.Agent.CK) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056925.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056495.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056185.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056188.exe (Malware.Packer.Gen) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056493.exe (Trojan.Downloader) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056494.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057063.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057088.exe (Trojan.Agent) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057089.exe (Trojan.Agent) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057090.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057091.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057805.exe (Trojan.Downloader) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057827.exe (Trojan.Downloader) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057944.exe (Adware.Clicker) -> Действие не было предпринято.
G:\System Volume Information\_restore{866399CC-24B3-4348-96BA-E0C0D40D88B5}\RP17\A0003570.exe (Trojan.Agent.CK) -> Действие не было предпринято.
G:\System Volume Information\_restore{D5B998CA-7015-4579-8B19-6EE69890C359}\RP125\A0063345.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056283.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056219.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056875.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057179.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0059192.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0060420.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0063488.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0066510.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0068339.pif (Malware.Packer.Gen) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0067011.pif (Malware.Packer.Gen) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0069884.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0070054.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{866399CC-24B3-4348-96BA-E0C0D40D88B5}\RP13\A0001252.exe (Trojan.Meredrop) -> Действие не было предпринято.
M:\System Volume Information\_restore{866399CC-24B3-4348-96BA-E0C0D40D88B5}\RP17\A0002941.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
C:\Users\Bluff\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Если случайно удалите нужное - легко восстановить через вкладку Карантин.

После лечения не забудьте обязательно поменять все ваши пароли.

blefdlyk@vk 16-03-2012 23:17 1880983
Все сделал, спасибо большое за помощь.
Есть еще вопрос по работе МБАМ. Он блокирует, наверное, четверть сайтов, пишет, что они заражены. Стоит ли ему доверять в этом или он может просто некорректно реагировать на некоторые скрипты? (Проверил эти сайты с помощью доктора веб, показал, что на них вредоносных скриптов не найдено)

iskander-k 17-03-2012 00:59 1881026
отключите протект либо удалите после окончания лечения. . (при установке нужно было просто отказаться от пробной версии - тогда она будет работать как сканер)
Логи RSIT и АВЗ повторите для проверки.


Время: 19:47.

Время: 19:47.
© OSzone.net 2001-