$traykeR Опубликовано 13 февраля, 2008 Жалоба Поделиться Опубликовано 13 февраля, 2008 (изменено) Всем привет! Вчера вечером были замечены вирусы (вот, что значит давать попользоваться инетом друзьям и близким :) ). Итак, вход в систему - все нормально... захожу в Мой Компьютер (в общем практически в любую папку) и на тебе: Ага, размечтались - Отмена. Блин, вспомнил, что Касперский давно в отключке (пару недель) да и аутпост был тоже... в общем досиделся без должной защиты. Запускаю 7 KAV, сканирую весь жесткий диск - в итоге Обнаружено 129 вирусов, все лечил, которые не получилось удалил. Отчет: KAV7.txt Перезагрузка, загрузка учетки, и такое вот окно: Данное .exe приложение было в автозагрузки и нормально себе фунциклировало (видимо до чистки антивируса): Но проблемы то остались: при юзании стандартного виндовского екслорера: Internet Explorer не работает - не запускается просто.Юзаю через Total Commander, так как папки не открываются. Вот еще логи: hijackthis.log KAV7.txt hijackthis.log Изменено 13 февраля, 2008 пользователем $traykeR Ссылка на комментарий Поделиться на другие сайты Поделиться
juve Опубликовано 13 февраля, 2008 Жалоба Поделиться Опубликовано 13 февраля, 2008 (изменено) С помощью hijackthis пофиксь: F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file) O2 - BHO: MailRuBHO Class - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL И вот это: O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmkkdkk.dll Скачай AVZ и обнови его: Файл - Обновление баз. Проверь все жесткие диски. Изменено 13 февраля, 2008 пользователем juve Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 13 февраля, 2008 Жалоба Поделиться Опубликовано 13 февраля, 2008 (изменено) Скачай Cureit , и проверь системный диск в безопасном режиме. Скачай AVZ , распакуй, обнови и перейди в меню Файл -- Стандартные скрипты. Выполни скрипт №3, в папке с AVZ будет папка LOG. Запакуй и выкладывай. Изменено 13 февраля, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 (изменено) Logfile of HijackThis v1.99.1 Скачайте свежую версию HijackThis, после выполнения в AVZ №3, перезагрузитесь и выполните стандартный скрипт №2, выложить файлы virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Изменено 14 февраля, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 14 февраля, 2008 Автор Жалоба Поделиться Опубликовано 14 февраля, 2008 (изменено) juve Профиксил ser208 Скачай Cureit , и проверь системный диск в безопасном режиме. Проверил - нашло еще 2 вируса - приложение mmhren1.exe и mmmkkdkk.dll (которые KAV же находил уже, до проверки Dr.web-a...) Перезагрузка -- заугрузка учетки -- загрузка KAV-а -- проверка крит.областей (...авто) и обнаружение еще одного вируса : Скачай AVZ , распакуй, обнови и перейди в менюФайл -- Стандартные скрипты. Выполни скрипт №3, в папке с AVZ будет папка LOG. Запакуй и выкладывай. Просканировал весь жесткий диск AVZ с условием 3 пункта. Лог: LOG.rar ... Pili Скачайте свежую версию HijackThis По новой версии лог: hijackthis.log Сканирую с условием 2-го пункта... LOG.rar hijackthis.log Изменено 14 февраля, 2008 пользователем $traykeR Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 14 февраля, 2008 Автор Жалоба Поделиться Опубликовано 14 февраля, 2008 (изменено) Pili перезагрузитесь и выполните стандартный скрипт №2, выложить файлы virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip При завершении сканирования высочило окно: AVZ просканировал с условием второго пункта: LOG.rar ....... Вырубил KAV (так как тормоза запарили(!)), быстро юзал виндовский браузер файлов и наткнулся на знакомое окно Нажал Ок (так как в настройках мыши всегда стоит автовыбор на "ОК"), запустился мастер закачек (DM) с запросом на скачку данную программу. Качать не качал, а вот адрес записал :mad: !! http://202.83.213.5/defender-install.exe LOG.rar Изменено 14 февраля, 2008 пользователем $traykeR Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 (изменено) В HJT пофиксить R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file) остальное, что найдется, уберем скриптом AVZ, нужны логи и ещё... у вас был PSW.Win32.LdPinch меняете все пароли на все ресурсы Изменено 14 февраля, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 14 февраля, 2008 Автор Жалоба Поделиться Опубликовано 14 февраля, 2008 Pili O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file) Толи слепой - не нашел, все остальное профиксил. остальное, что найдется, уберем скриптом AVZ, нужны логи Я выложил лог в 6-ом сообщении, с условием 2-го стандартного скрипта. Спасибо, что дальше делать? меняете все пароли на все ресурсы Понял. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 $traykeR: Еще раз Логи должны быть такие - zip файлы из каталога AVZ\LOG и HijackThis, но весь каталог LOG архивировать не надо! (в файле virusinfo_cure.zip могли быть вирусы - не хорошо их выкладывать) всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip, эти логи результат след. действий: - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". - Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог. Последовательность имеет значение! Логи лучше выкладывать вместе, тогда не будет такого что "не нашел" O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file) было в вашем hijackthis.log, т.к AVZ ничего не удалил, то м.б. ещё есть (по AVZ есть) можно, в принципе пофиксить ещё O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('EzInstall');StopService('NdisWon');QuarantineFile('C:\WINDOWS\AcroIEHelper.dll','');QuarantineFile('point32.exe','');QuarantineFile('C:\WINDOWS\mmhren1.exe','');QuarantineFile('0.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\NdisWon.sys','');QuarantineFile('G:\ezinstall\EzInstall.sys','');DelBHO('{140BD8E3-C167-11D4-B4A3-080000180323}');DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}');DeleteFile('C:\WINDOWS\system32\drivers\NdisWon.sys');DeleteFile('0.exe');DeleteFile('C:\WINDOWS\mmhren1.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ повторите все логи диск G это у вас что? Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 но весь каталог LOG архивировать не надо! (в файле virusinfo_cure.zip могли быть вирусы - не хорошо их выкладывать) Это я в спешке запарился :mad: Каюсь. Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 17 февраля, 2008 Автор Жалоба Поделиться Опубликовано 17 февраля, 2008 Pili: - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". virusinfo_syscure.zip virusinfo_syscheck.zip - Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.Последовательность имеет значение! Логи лучше выкладывать вместе, тогда не будет такого что "не нашел" hijackthis.rar выполните скрипт... Выполнил все скрипты в указаной последоательности. Файл quarantine.zip выложил на рапиду, ссылку отослал в PM. диск G это у вас что? Это второй DVD ром. ЗЫ До всех логов удалил виртуальные приводы (2), профиксил: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll ... и это еще O2 - BHO: Adobe PDF Reader Link Helper - {A8607BAF-0EB3-473C-84C9-F3A5B901A796} - C:\WINDOWS\AcroIEHelper.dll virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 17 февраля, 2008 Жалоба Поделиться Опубликовано 17 февраля, 2008 поищите вручную NdisWon.sys (C:\WINDOWS\system32\drivers\NdisWon.sys) и м.б. на сд найдете EzInstall.sys (G:\ezinstall\EzInstall.sys) - если найдете, заархивируйте с паролем virus и отправьте на анализ newvirus@kaspersky.com, результат сообщите если не найдете, можете выполнить скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('EzInstall');SetServiceStart('EzInstall', 4);StopService('NdisWon');SetServiceStart('NdisWon', 4);QuarantineFile('G:\ezinstall\EzInstall.sys','');QuarantineFile('NdisWon.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\NdisWon.sys','');DeleteService('EzInstall');DeleteService('NdisWon');DeleteFile('G:\ezinstall\EzInstall.sys');DeleteFile('NdisWon.sys');DeleteFile('C:\WINDOWS\system32\drivers\NdisWon.sys');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. а в остальном логи чистые Ссылка на комментарий Поделиться на другие сайты Поделиться
Andruscha Опубликовано 17 февраля, 2008 Жалоба Поделиться Опубликовано 17 февраля, 2008 Здраствуйте!!!! Люди я чайник, 2 дня читаю етот форум и нифига немогу зделать :g: у меня таже проблема что и у автора, вылазиет окно и хочет чтобы я скачал какойта смутный антивирус с ихнего сайта. вот ета мутная штука http://202.83.213.5/defender-install.exe я облазил все поисковики что знал и нашёл только несколько форумов на ету тему.... похоже вирус свежий... один форум на итальянском, один на англиском, один нa китайском.... ето единственный форум где я могу хоть читать, понимаю плохо так как таких слов незнаю. я скачал Cureit просканил и так и в безопасном режиме длисоль ето очень долго чесов 10. были вирусы их удалил. скачал AVZ незнаю что ето и с чем его едят. скачал HijackThis незнаю что ето и с чем его едят. окно ето как вылазило так вылазиет... 3 день мучиюсь помогите ктонибуть !!!!!!! ПожалуйсTa Ссылка на комментарий Поделиться на другие сайты Поделиться
Andruscha Опубликовано 17 февраля, 2008 Жалоба Поделиться Опубликовано 17 февраля, 2008 ету штуку поймал после того как посмотрел фильм онлайн на сайте linecinema.ru... если неошибаюсь они меня какойта елемент просили установить чтобы пошло чёта там Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 17 февраля, 2008 Автор Жалоба Поделиться Опубликовано 17 февраля, 2008 (изменено) Andruscha: Сделай все, что тут выше написано. Окно исчезло :g: , есплорер уже нормально стал работать. Всем спасибо за помощь! Pili Ок, сделаю. :) Изменено 17 февраля, 2008 пользователем $traykeR Ссылка на комментарий Поделиться на другие сайты Поделиться
Andruscha Опубликовано 17 февраля, 2008 Жалоба Поделиться Опубликовано 17 февраля, 2008 я бы с удовольстием только я... незаю что мне делать... я непонимаю нечего.... я только смог просканить комп доктором веб Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 18 февраля, 2008 Жалоба Поделиться Опубликовано 18 февраля, 2008 Andruscha: - Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим. - Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки. - Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". - Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог. - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Откройте новую тему, опишите проблему и выложите логи Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 18 февраля, 2008 Автор Жалоба Поделиться Опубликовано 18 февраля, 2008 (изменено) поищите вручную NdisWon.sys (C:\WINDOWS\system32\drivers\NdisWon.sys) и м.б. на сд найдете EzInstall.sys (G:\ezinstall\EzInstall.sys) - если найдете, заархивируйте с паролем virus и отправьте на анализ newvirus@kaspersky.com, результат сообщите если не найдете, можете выполнить скрипт ... Pili, выполнил указанный скрипт. Заархивировал новый "Quarantine.zip". Правильно ? Если да, то отошлю на мыло... Изменено 18 февраля, 2008 пользователем $traykeR Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 18 февраля, 2008 Жалоба Поделиться Опубликовано 18 февраля, 2008 $traykeR: т.е. вручную файлы не нашли? Карантин пришлите в ПМ Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 18 февраля, 2008 Автор Жалоба Поделиться Опубликовано 18 февраля, 2008 $traykeR: т.е. вручную файлы не нашли? Карантин пришлите в ПМ Вобщем я немного запутался, думал скрипт сей заменит поиск файла, ну да ладно. ndis.sis нашел в ..system32\drivers ndis.rar отсылаю на newvirus@kaspersky.com. На всякий случай отсылаю Карантин вам в PM :D Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 18 февраля, 2008 Жалоба Поделиться Опубликовано 18 февраля, 2008 надо NdisWon.sys (но его уже нет - удален), а не ndis.sis (наверное ndis.sys) :D ndis.sys точно будет чистый. 9. Мастер поиска и устранения проблем >> Нарушение ассоциации SCR файлов запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы. >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику что из этого не нужно? Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 20 февраля, 2008 Автор Жалоба Поделиться Опубликовано 20 февраля, 2008 Запустил мастер поиска, исправил: Нарушение ассоциации SCR файлов Службы >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) RemoteRegistry - оставляю включенной, нужна. >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) Отключаю (работала) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) Отключаю, хотя все они не работали, режим "Вручную". >> Безопасность: Разрешена отправка приглашений удаленному помошнику Приглашение не нужно, отключил. Все остальное вродебы нужно, вот только: >> Безопасность: к ПК разрешен доступ анонимного пользователя Локалки нет, так что убираю - в реестре HKLM\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous ставлю 2. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 20 февраля, 2008 Жалоба Поделиться Опубликовано 20 февраля, 2008 Сами поотключали? Мог скриптом сделать, ну ладно, зато опыта набрались :) Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета! Ссылка на комментарий Поделиться на другие сайты Поделиться
$traykeR Опубликовано 24 февраля, 2008 Автор Жалоба Поделиться Опубликовано 24 февраля, 2008 Cпасибо большое, книгу прочту! :blush2: PS Проблема решена, тема закрыта. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения