Добро пожаловать на независимую площадку Stop Malware.
Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 10 из 19

Тема: логи с дедика

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3

    логи с дедика

    Заражение есть 100%,но нет времени на лечение. Логи прилепляю:

    Вложения
    логи с дедика
    логи с дедика

  2. #2
    Аватар для Aibolit
    Aibolit
    Aibolit вне форума

    Администратор
    Регистрация
    22.03.2011
    Сообщений
    941
    Поблагодарил(а)
    690
    Благодарностей
    304



    Цитата Цитата


    Сообщение от Мирный Атом Посмотреть сообщение
    Заражение есть 100%,но нет времени на лечение. Логи прилепляю:
    В чем заключается есть заражение? Чем выражается это заражение? Какие проблемы?
    +

    Выпоните лог Rsit

  3. #3
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3



    Цитата Цитата


    Сообщение от Aibolit Посмотреть сообщение
    В чем заключается есть заражение? Чем выражается это заражение? Какие проблемы?
    Дедик был найден на хак.форуме. В логе видел пару файлов,которые называются как системные,но распологаются не там где надо. рсит готовится
    логи с дедика
    логи с дедика

  4. #4
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3
    log.txt и info.txt-в архиве
    rsit.rar
    логи с дедика
    логи с дедика

  5. #5
    Аватар для Bern
    Bern
    Bern вне форума

    Супер-модератор
    Регистрация
    22.03.2011
    Сообщений
    288
    Поблагодарил(а)
    122
    Благодарностей
    84
    ПК запускали из термальной сессии? Реально дать логи с нормального режима?
    Последний раз редактировалось Bern; 01.09.2011 в 02:02.

  6. #6
    Аватар для Aibolit
    Aibolit
    Aibolit вне форума

    Администратор
    Регистрация
    22.03.2011
    Сообщений
    941
    Поблагодарил(а)
    690
    Благодарностей
    304
    Перед выполнением скрипта отключите защитное ПО (Антивирус/Файерволл)!!!

    • Выполните скрипт AVZ

    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить

    P.S. В это время что бы никто не был к серверу подключен, тк данные не сохранятся
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\Documents and Settings\DNSSupport\WINDOWS\System32\smss.exe','');
     QuarantineFile('C:\WINDOWS\System\fipst.exe','');
     QuarantineFile('c:\documents and settings\dnssupport\windows\system32\mswsock.dll','');
     QuarantineFile('C:\Documents and Settings\DNSSupport\WINDOWS\system32\browseui.dll','');
     QuarantineFile('C:\WINDOWS\system32\viwc.exe','');
     QuarantineFile('C:\Documents and Settings\123\Мои документы\Новая папка (2)\safesurf.exe','');
     QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
     QuarantineFile('c:\windows\system\fipst.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3168972602-1197232913-2846203936-1201\Dc2\surfguard.exe','');
     QuarantineFile('C:\DOCUME~1\ROOTAG~1.000\LOCALS~1\Temp\tmp.exe','');
     DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3168972602-1197232913-2846203936-1201\Dc2\surfguard.exe');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    • После перезагрузки выполните такой скрипт:

    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Загрузите quarantine.zip из папки AVZ на quarstopmalware<a>mail.ru где <a> = @

    Сделайте новые логи AVZ, лог hijackthis и лог полного сканирования MBAM.

  7. #7
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3



    Цитата Цитата


    Сообщение от Bern Посмотреть сообщение
    ПК запускали из термальной сессии? Реально дать логи с нормального режима?
    Да. С нормального режима не смогу точно.

    Скрипт выполнил. Карантин+логи будут чуть позже,т.к. вываливаюсь с терминала(работы у провайдера моего)
    Последний раз редактировалось Мирный Атом; 01.09.2011 в 18:44.
    логи с дедика
    логи с дедика

  8. #8
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3
    лог полного сканирования MBAM: http://zalil.ru/31635805 (простите. на форум не заливается)

    Карантин отправил на e-mail.
    Последний раз редактировалось Мирный Атом; 01.09.2011 в 23:02.
    логи с дедика
    логи с дедика

  9. #9
    Аватар для Aibolit
    Aibolit
    Aibolit вне форума

    Администратор
    Регистрация
    22.03.2011
    Сообщений
    941
    Поблагодарил(а)
    690
    Благодарностей
    304
    Вам знакомы эти файлы?
    e:\Install\рабочая папка\olga\рабочий стол\корпоратив\nguyen tu quang.exe
    c:\WINDOWS\Media\новая папка\1111\rdpclip.exe (PUP.PSWBruteForce) -> No action taken.
    e:\новая папка\vuescan.8.5.32.pro\crack\8.4.xx-patch-ice69.exe (PUP.Hacktool.Patcher) -> No action taken.

    ЕСли нет, то проверьте на VT/
    Удалите в MBAMM
    Код:
    Зараженные процессы в памяти:
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 3616 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 1108 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 3156 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 4700 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 4176 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 149056 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 165696 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 143896 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 132096 -> No action taken.
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> 101524 -> No action taken.
    
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Dropper) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msupdate (Rootkit.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Darkness (Backdoor.Agent.H) -> Value: Darkness -> No action taken.
    
    Зараженные файлы:
    c:\WINDOWS\system\fipst.exe (Backdoor.Agent.H) -> No action taken.
    c:\documents and settings\natasha\local settings\application data\Mozilla\Firefox\Profiles\9njqnl3t.default\Cache\00346be5d01 (PUP.Casino) -> No action taken.
    c:\documents and settings\dnssupport\рабочий стол\avz4\avz4\quarantine\2011-09-01\bcqr00003.dat (Backdoor.Agent.H) -> No action taken.
    c:\documents and settings\dnssupport\рабочий стол\avz4\avz4\quarantine\2011-09-01\avz00001.dta (Backdoor.Agent.H) -> No action taken.
    c:\documents and settings\dnssupport\рабочий стол\avz4\avz4\quarantine\2011-09-01\bcqr00004.dat (Backdoor.Agent.H) -> No action taken.
    c:\documents and settings\dnssupport\рабочий стол\avz4\avz4\quarantine\2011-09-01\bcqr00015.dat (Backdoor.Agent.H) -> No action taken.
    c:\documents and settings\dnssupport\рабочий стол\avz4\avz4\quarantine\2011-09-01\bcqr00016.dat (Backdoor.Agent.H) -> No action taken.
    c:\documents and settings\natasha\local settings\application data\Mozilla\Firefox\Profiles\9njqnl3t.default\Cache\00346be5d01 (PUP.Casino) -> No action taken.
    c:\documents and settings\test\local settings\temporary internet files\Content.IE5\GT870N8R\vvvv[1].exe (Backdoor.Agent.H) -> No action taken.
    c:\RECYCLER\s-1-5-21-3168972602-1197232913-2846203936-1201\Dc2\safesurf.exe (Trojan.Downloader) -> No action taken.
    c:\RECYCLER\s-1-5-21-3168972602-1197232913-2846203936-1201\Dc29\steamobrute.exe (Malware.Gen) -> No action taken.
    c:\RECYCLER\s-1-5-21-3168972602-1197232913-2846203936-1286\Dc7\2011-08-30\avz00002.dta (Trojan.Agent) -> No action taken.
    c:\WINDOWS\raddrv.dll (PUP.RemoteAdmin) -> No action taken.
    c:\WINDOWS\offline web pages\cache.txt (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\mssrv32.exe.vir (Backdoor.Bot) -> No action taken.
    c:\program files\internet explorer\svchost.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\root.agro.000\рабочий стол\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
    Сделайте новые логи AVZ, лог RSIT и лог полного сканирования MBAM.

    +

    Обновите IE6 до iE8 или IE9

  10. #10
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3
    e:\Install\рабочая папка\olga\рабочий стол\корпоратив\nguyen tu quang.exe
    c:\WINDOWS\Media\новая папка\1111\rdpclip.exe (PUP.PSWBruteForce) -> No action taken.
    Эти файлы не известны и я их удалил. Простите.
    e:\новая папка\vuescan.8.5.32.pro\crack\8.4.xx-patch-ice69.exe (PUP.Hacktool.Patcher) -> No action taken.
    Кряк для программы.
    Логи делаю. IE обновил до 8 версии
    логи с дедика
    логи с дедика

 

 
Страница 1 из 2 12 ПоследняяПоследняя

Похожие темы

  1. Логи с дедика
    от Bern в разделе Отчеты
    Ответов: 0
    Последнее сообщение: 04.09.2011, 01:30

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •