myt'_vesny Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 Помогите пожалуйста с этими гадосными вирусами. Вот логи. У меня были точно проблемы с winlogon (ну там появлялся deflib.sys - трафик поглощал) я из safemode winlogon убил (теперь вроде deflib не появляется ). но трафик всеравно поглощается. Помогите пожалуйста. virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 Эти вызывают подозрения. O17 - HKLM\System\CCS\Services\Tcpip\..\{117F4726-72F6-43B8-A10F-87AE4CFBEF0C}: NameServer = 193.125.78.100,193.125.79.178O17 - HKLM\System\CCS\Services\Tcpip\..\{98604EB4-AF3A-4224-9E83-4A0A6AF3E6B4}: NameServer = 10.45.6.1,193.125.78.100O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_15.dllO21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dllO23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing) Если у тебя мудреная конфигурация сети то первые две строчки не удаляй. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 (изменено) myt'_vesny, Отключите восстановление системы! , деинсталлируйте Prevx CSI и можно ещё временно KAV 5.0 (или обновите базы kav, а вообще все равно старая версия, рекомендую поставить KIS 7 и в системе не д.б. 2 антивируса), почистите временные файлы и файлы в C:\Documents and Settings\Andrii\Local Settings\Temp\ и корзину (можно стандарртными средствами windows (пуск-стандартные-служебные-очистка диска), а лучше так - скачайте ATF Cleaner - запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected. - нажмите No, Если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected. - нажмите No, Если вы хотите оставить ваши сохраненные пароли Если не проверялись с помощью cureit, скачайте CureIT, запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим. выполните скрипт в AVZ (на время вып-ия скрипта отключить антивирус) beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('CcEvtSvc');StopService('kkdc');QuarantineFile('C:\WINDOWS\system32\tmp_15.dll','');QuarantineFile('C:\PROGRA~1\EzButton\CplDAT20.EXE','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\fgdxbus.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\fgdscsi.sys','');QuarantineFile('C:\WINDOWS\system32\Drivers\ENECBPTH.sys','');QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');QuarantineFile('C:\WINDOWS\lsass.exe','');QuarantineFile('Ieb29.sys','');QuarantineFile('C:\WINDOWS\system32\wininet.exe','');QuarantineFile('C:\WINDOWS\system32\svshost.dll','');QuarantineFile('c:\windows\system32\wininet.exe','');DeleteFile('c:\windows\system32\wininet.exe');DeleteFile('C:\WINDOWS\system32\svshost.dll');DeleteFile('C:\WINDOWS\system32\wininet.exe');DeleteFile('Ieb29.sys');DeleteFile('C:\WINDOWS\lsass.exe');DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');DeleteFile('C:\WINDOWS\system32\tmp_15.dll');DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');DeleteService('CcEvtSvc');DeleteService('kkdc');DeleteService('FCI');BC_Importall;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. пофиксить в HijackThis O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_15.dllO21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll повторить логи Изменено 28 февраля, 2008 пользователем Pili Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Satellite Опубликовано 28 февраля, 2008 Жалоба Поделиться Опубликовано 28 февраля, 2008 обнови каспера до 7й версии, обнови базы, сделай в нем же "аварийный диск"(там есть в каспере в главном окне такой пункт), загрузись с него и почисть. самый простой путь. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
myt'_vesny Опубликовано 28 февраля, 2008 Автор Жалоба Поделиться Опубликовано 28 февраля, 2008 1) Отключил восстановление системы 2) Деинсталлирівал Prevx CSI и KAV 5.0 3) Почистите временные файлы с помошью ATF Cleaner 4) Проверился с CureIT 5) Выполнил скрипты 6) В HijackThis хотел пофиксить описаные Вами строки, но там уже к этому времени осталась из 3-х только одна: О3 - toolbar.... Логи прикрепил. Файл с карантином сча выложу кудато. А "дать ссылку на него в ПМ" это.... Можно расшифровать? ) Спасибо. Кстати я вот сча смотрю траффик вроде больше не пропадает. )))))) hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 А "дать ссылку на него в ПМ" это.... Можно расшифровать? ) Спасибо. У Pili под картинкой(аватаркой) есть две кнопочки *Профиль* и *Приват* ПМ=Приват, жми на *Приват* и там в открывшейся форме сообщения укажи ссылку на эту тему, и ссылку на архив :dontgetit: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 файлы, попавшие в карантин, чистые, в логах чисто, в HJT болтается служба FCI (м.б. глюк HJT), можно так пуск-выполнить - sc delete FCI и скрипт (без перезагрузки) на всякий случай beginDeleteService('FCI');ExecuteSysClean;end. >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику что из этого не нужно? KAV 5.0 удаляли? Если да, можете почистить утилитой kavremover и поставить версию новее или бесплатный Avira Antivir из C:\Documents and Settings\Andrii\DoctorWeb\Quarantine можете всё удалить и ещё на всякий случай поменяйте все пароли. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
myt'_vesny Опубликовано 29 февраля, 2008 Автор Жалоба Поделиться Опубликовано 29 февраля, 2008 Из этого вроде ничо особо не надо. Все поотключать? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 Ну если ничего не надо (терминальные подключения к этому компу не используются?), выполните скрипт beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
myt'_vesny Опубликовано 29 февраля, 2008 Автор Жалоба Поделиться Опубликовано 29 февраля, 2008 Все сделал. Спасибо огромное. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 29 февраля, 2008 Жалоба Поделиться Опубликовано 29 февраля, 2008 Пожалуйста :no: Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.