myt'_vesny Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 Помогите пожалуйста с этими гадосными вирусами. Вот логи. У меня были точно проблемы с winlogon (ну там появлялся deflib.sys - трафик поглощал) я из safemode winlogon убил (теперь вроде deflib не появляется ). но трафик всеравно поглощается. Помогите пожалуйста. virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 Эти вызывают подозрения. O17 - HKLM\System\CCS\Services\Tcpip\..\{117F4726-72F6-43B8-A10F-87AE4CFBEF0C}: NameServer = 193.125.78.100,193.125.79.178O17 - HKLM\System\CCS\Services\Tcpip\..\{98604EB4-AF3A-4224-9E83-4A0A6AF3E6B4}: NameServer = 10.45.6.1,193.125.78.100O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_15.dllO21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dllO23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing) Если у тебя мудреная конфигурация сети то первые две строчки не удаляй. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 (изменено) myt'_vesny, Отключите восстановление системы! , деинсталлируйте Prevx CSI и можно ещё временно KAV 5.0 (или обновите базы kav, а вообще все равно старая версия, рекомендую поставить KIS 7 и в системе не д.б. 2 антивируса), почистите временные файлы и файлы в C:\Documents and Settings\Andrii\Local Settings\Temp\ и корзину (можно стандарртными средствами windows (пуск-стандартные-служебные-очистка диска), а лучше так - скачайте ATF Cleaner - запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected. - нажмите No, Если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected. - нажмите No, Если вы хотите оставить ваши сохраненные пароли Если не проверялись с помощью cureit, скачайте CureIT, запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим. выполните скрипт в AVZ (на время вып-ия скрипта отключить антивирус) beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('CcEvtSvc');StopService('kkdc');QuarantineFile('C:\WINDOWS\system32\tmp_15.dll','');QuarantineFile('C:\PROGRA~1\EzButton\CplDAT20.EXE','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\fgdxbus.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\fgdscsi.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\ENECBPTH.sys','');QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');QuarantineFile('C:\WINDOWS\lsass.exe','');QuarantineFile('Ieb29.sys','');QuarantineFile('C:\WINDOWS\system32\wininet.exe','');QuarantineFile('C:\WINDOWS\system32\svshost.dll','');QuarantineFile('c:\windows\system32\wininet.exe','');DeleteFile('c:\windows\system32\wininet.exe');DeleteFile('C:\WINDOWS\system32\svshost.dll');DeleteFile('C:\WINDOWS\system32\wininet.exe');DeleteFile('Ieb29.sys');DeleteFile('C:\WINDOWS\lsass.exe');DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');DeleteFile('C:\WINDOWS\system32\tmp_15.dll');DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');DeleteService('CcEvtSvc');DeleteService('kkdc');DeleteService('FCI');BC_Importall;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. пофиксить в HijackThis O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_15.dllO21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll повторить логи Изменено 28 февраля, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Satellite Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 обнови каспера до 7й версии, обнови базы, сделай в нем же "аварийный диск"(там есть в каспере в главном окне такой пункт), загрузись с него и почисть. самый простой путь. Ссылка на комментарий Поделиться на другие сайты Поделиться
myt'_vesny Опубликовано 28 февраля, 2008 Автор Жалоба Поделиться Опубликовано 28 февраля, 2008 1) Отключил восстановление системы 2) Деинсталлирівал Prevx CSI и KAV 5.0 3) Почистите временные файлы с помошью ATF Cleaner 4) Проверился с CureIT 5) Выполнил скрипты 6) В HijackThis хотел пофиксить описаные Вами строки, но там уже к этому времени осталась из 3-х только одна: О3 - toolbar.... Логи прикрепил. Файл с карантином сча выложу кудато. А "дать ссылку на него в ПМ" это.... Можно расшифровать? ) Спасибо. Кстати я вот сча смотрю траффик вроде больше не пропадает. )))))) hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 А "дать ссылку на него в ПМ" это.... Можно расшифровать? ) Спасибо. У Pili под картинкой(аватаркой) есть две кнопочки *Профиль* и *Приват* ПМ=Приват, жми на *Приват* и там в открывшейся форме сообщения укажи ссылку на эту тему, и ссылку на архив :dontgetit: Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 файлы, попавшие в карантин, чистые, в логах чисто, в HJT болтается служба FCI (м.б. глюк HJT), можно так пуск-выполнить - sc delete FCI и скрипт (без перезагрузки) на всякий случай beginDeleteService('FCI');ExecuteSysClean;end. >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику что из этого не нужно? KAV 5.0 удаляли? Если да, можете почистить утилитой kavremover и поставить версию новее или бесплатный Avira Antivir из C:\Documents and Settings\Andrii\DoctorWeb\Quarantine можете всё удалить и ещё на всякий случай поменяйте все пароли. Ссылка на комментарий Поделиться на другие сайты Поделиться
myt'_vesny Опубликовано 29 февраля, 2008 Автор Жалоба Поделиться Опубликовано 29 февраля, 2008 Из этого вроде ничо особо не надо. Все поотключать? Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 Ну если ничего не надо (терминальные подключения к этому компу не используются?), выполните скрипт beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end. Ссылка на комментарий Поделиться на другие сайты Поделиться
myt'_vesny Опубликовано 29 февраля, 2008 Автор Жалоба Поделиться Опубликовано 29 февраля, 2008 Все сделал. Спасибо огромное. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 Пожалуйста :no: Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета! Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти