[ Закрыто ] MSIL/Injector.YT , Угроза в оперативной памяти

RSS
Сегодня, когда брат принёс ноутбук с работы. Ноутбук мой.
Не работают другие учётные записи, работал под админской.
И сегодня увидел гору… сообщений о программе (шпионе?).
Вот часть журнала:
Скрытый текст
Изменено: Станислав Михайленко - 09.06.2015 12:28:26 (Спойлер)

Ответы

Bitcoin.Miner в папке с uVS. Я думал, что снова установился (а вдруг он как браузер "Амиго"?), а потом uVS написал, что нет доступа.
Вот лог.
MBAM я удалил. Если надо — поставлю снова.
Антивирус снова выдаёт артефакты ругательства.
P. S. Boot.exe — файл Денвера, который я недавно установил.
Изменено: Станислав Михайленко - 10.06.2015 19:44:47
1. перенастройте DNS роутера и установите надежный пароль на доступ к настройкам
https://www.nic.ru/whois/?query=5.104.175.150

Цитата
inetnum:        5.104.175.0 - 5.104.175.255
netname:        Verdina
descr:          Verdina Ltd.
org:            ORG-VL172-RIPE
country:        BG

2. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Tool.BtcMine.94 [DrWeb]

zoo %SystemDrive%\USERS\СТАС\DOWNLOADS\GIT-1.9.5-PREVIEW20150319.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B4E2611A1 40 Program.Unwanted.285 [DrWeb]

addsgn A7679B19919AF4EE9195AE59DC63ECFA9D4E67B7891245A47B3C4EA99870304CAA154842F6F3DC49A0922553E0574912350A178DDECF788A6C772F3D666A8432 8 Win32/BitCoinMiner.AI [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE
zoo D:\WINDOWS.OLD\USERS\СТАС\DESKTOP\AIVLIFE_RU_ANTIALAWAR_2013\ALAWAR SMSKEY KEYMAKER.EXE
delref %SystemRoot%\AUTOKMS\AUTOKMS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. добавьте все логи выполнения скриптов uVS
это файлы дата_Времяlog.txt из папки uVS

4. добавьте новый образ автозапуска
3. Готово
4. Будет через 10 минут
Лог новый делать или тот, который я забыл выложить?
СТАРЫЙ ЛОГ:
Цитата
santy написал:
inetnum:        5.104.175.0 - 5.104.175.255
netname:        Verdina
descr:          Verdina Ltd.
org:            ORG-VL172-RIPE
country:        BG
На этот DNS?
Не сильно в этом разбираюсь.
Изменено: Станислав Михайленко - 10.06.2015 20:55:34
Станислав,
Цитата
Станислав Михайленко написал:
На этот DNS?
Не сильно в этом разбираюсь.

этот DNS заменить на DNS от вашего провайдера.
если нет доступа в настройки роутера, аппаратно сбросьте настройки роутера и перенастройте его по настройкам от провайдера.
+ установите надежный пароль на настройки.
если это сложно сделать вам, попросите это сделать специалиста, или человека который умеет настроить роутер для работы в сети.

Цитата
СТАРЫЙ ЛОГ:
старый образ не нужен.
нужен новый образ после выполнения последнего скрипта.
Изменено: santy - 11.06.2015 05:21:44
Лог после скрипта.
DNS от провайдера не знаю. Сисадмин в сети, походу, тоже не знает.
Изменено: Станислав Михайленко - 11.06.2015 13:44:09
по образу все ок, кроме левого DNS.
добавьте новый лог обнаружения угроз. посмотрим, повлияло ли решение убрать из автозапуска активатора или нет.

по левому DNS вам решать. если есть доступ к настройкам роутера - вбейте гугловские DNS: 8.8.8.8 и 8.8.4.4
Цитата
santy написал:
есть доступ к настройкам роутера
Не помню, сменил ли сисадмин пароль. Если пароль дефолтный, сменю потом.
Ну и где ответ?
Читают тему (гостей: 2)