Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Помогите избавится от них !


Рекомендуемые сообщения

Помогите пожалуйста с этими гадосными вирусами. Вот логи. У меня были точно проблемы с winlogon (ну там появлялся deflib.sys - трафик поглощал) я из safemode winlogon убил (теперь вроде deflib не появляется ). но трафик всеравно поглощается. Помогите пожалуйста.

virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты

Эти вызывают подозрения.

 O17 - HKLM\System\CCS\Services\Tcpip\..\{117F4726-72F6-43B8-A10F-87AE4CFBEF0C}: NameServer = 193.125.78.100,193.125.79.178O17 - HKLM\System\CCS\Services\Tcpip\..\{98604EB4-AF3A-4224-9E83-4A0A6AF3E6B4}: NameServer = 10.45.6.1,193.125.78.100O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_15.dllO21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dllO23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

Если у тебя мудреная конфигурация сети то первые две строчки не удаляй.

Ссылка на комментарий
Поделиться на другие сайты

myt'_vesny, Отключите восстановление системы! , деинсталлируйте Prevx CSI и можно ещё временно KAV 5.0 (или обновите базы kav, а вообще все равно старая версия, рекомендую поставить KIS 7 и в системе не д.б. 2 антивируса), почистите временные файлы и файлы в C:\Documents and Settings\Andrii\Local Settings\Temp\ и корзину (можно стандарртными средствами windows (пуск-стандартные-служебные-очистка диска), а лучше так

- скачайте ATF Cleaner

- запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.

- нажмите No, Если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected.

- нажмите No, Если вы хотите оставить ваши сохраненные пароли

Если не проверялись с помощью cureit, скачайте CureIT, запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

выполните скрипт в AVZ (на время вып-ия скрипта отключить антивирус)

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('CcEvtSvc');StopService('kkdc');QuarantineFile('C:\WINDOWS\system32\tmp_15.dll','');QuarantineFile('C:\PROGRA~1\EzButton\CplDAT20.EXE','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\fgdxbus.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\fgdscsi.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\ENECBPTH.sys','');QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');QuarantineFile('C:\WINDOWS\lsass.exe','');QuarantineFile('Ieb29.sys','');QuarantineFile('C:\WINDOWS\system32\wininet.exe','');QuarantineFile('C:\WINDOWS\system32\svshost.dll','');QuarantineFile('c:\windows\system32\wininet.exe','');DeleteFile('c:\windows\system32\wininet.exe');DeleteFile('C:\WINDOWS\system32\svshost.dll');DeleteFile('C:\WINDOWS\system32\wininet.exe');DeleteFile('Ieb29.sys');DeleteFile('C:\WINDOWS\lsass.exe');DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');DeleteFile('C:\WINDOWS\system32\tmp_15.dll');DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');DeleteService('CcEvtSvc');DeleteService('kkdc');DeleteService('FCI');BC_Importall;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

пофиксить в HijackThis

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_15.dllO21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll

повторить логи

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

обнови каспера до 7й версии, обнови базы, сделай в нем же "аварийный диск"(там есть в каспере в главном окне такой пункт), загрузись с него и почисть. самый простой путь.

Ссылка на комментарий
Поделиться на другие сайты

1) Отключил восстановление системы

2) Деинсталлирівал Prevx CSI и KAV 5.0

3) Почистите временные файлы с помошью ATF Cleaner

4) Проверился с CureIT

5) Выполнил скрипты

6) В HijackThis хотел пофиксить описаные Вами строки, но там уже к этому времени осталась из 3-х только одна:

О3 - toolbar....

Логи прикрепил. Файл с карантином сча выложу кудато.

А "дать ссылку на него в ПМ" это.... Можно расшифровать? ) Спасибо.

Кстати я вот сча смотрю траффик вроде больше не пропадает. ))))))

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

А "дать ссылку на него в ПМ" это.... Можно расшифровать? ) Спасибо.

У Pili под картинкой(аватаркой) есть две кнопочки *Профиль* и *Приват*

ПМ=Приват, жми на *Приват* и там в открывшейся форме сообщения укажи ссылку на эту тему, и ссылку на архив :dontgetit:

Ссылка на комментарий
Поделиться на другие сайты

файлы, попавшие в карантин, чистые, в логах чисто, в HJT болтается служба FCI (м.б. глюк HJT), можно так

пуск-выполнить - sc delete FCI и скрипт (без перезагрузки) на всякий случай

beginDeleteService('FCI');ExecuteSysClean;end.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)

>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)

>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)

>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешены терминальные подключения к данному ПК

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не нужно?

KAV 5.0 удаляли? Если да, можете почистить утилитой kavremover и поставить версию новее или бесплатный Avira Antivir

из C:\Documents and Settings\Andrii\DoctorWeb\Quarantine можете всё удалить и ещё на всякий случай поменяйте все пароли.

Ссылка на комментарий
Поделиться на другие сайты

Ну если ничего не надо (терминальные подключения к этому компу не используются?), выполните скрипт

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста :no:

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета!

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...