Crock Опубликовано 14 февраля, 2009 Жалоба Поделиться Опубликовано 14 февраля, 2009 Привет. У меня возникла проблема с антивирусом (drweb 5.00) Во первых невозможно ни провести обновление, ни получить демоключь, ни зарегистрировать лицензионный ключ. Во вторых невозможно зайти на сайты в адресе которых есть упоминания антивирусов (дрвеб, касперский, нод и др.) Что делать? virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 14 февраля, 2009 Жалоба Поделиться Опубликовано 14 февраля, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Documents and Settings\Арк\sd4dshd.exe','');QuarantineFile('C:\Documents and Settings\Арк\s2dsxdshd.exe','');QuarantineFile('C:\WINDOWS\system32\neotweaker.cpl','');QuarantineFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe','');QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe','');QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');DeleteFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe');DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');DeleteFile('C:\Documents and Settings\Арк\s2dsxdshd.exe');DeleteFile('C:\Documents and Settings\Арк\sd4dshd.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью . Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 15 февраля, 2009 Автор Жалоба Поделиться Опубликовано 15 февраля, 2009 >Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) >Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner >запакуйте файл C:\Report.txt и прикрепите к сообщению >Необходимо установить Recovery Console Сделал >Скачайте установочный файл для своей ОС и сохраните на рабочий стол. >Windows XP Professional с пакетом обновления 2 (SP2) >Windows XP Home Edition с пакетом обновления 2 (SP2) >Скачайте RSIT или отсюда. >скачайте . Заблокировано!!! ComboFix.rar Report.rar ComboFix.rar Report.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 15 февраля, 2009 Жалоба Поделиться Опубликовано 15 февраля, 2009 (изменено) c:\windows\system32\vlqxvjwt.dll - под пароль virus в карантин поместите. после этого: Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение File::c:\windows\system32\vlqxvjwt.dllc:\windows\IE4 Error Log.txtc:\windows\system32\com.runc:\windows\system32\dp1.fnec:\windows\system32\eAPI.fnec:\windows\system32\internet.fnec:\windows\system32\krnln.fnrc:\windows\system32\og.dllc:\windows\system32\og.edtc:\windows\system32\RegEx.fnrc:\windows\system32\shell.fnec:\windows\system32\spec.fnec:\windows\system32\ul.dllDriver::aqsptzzcxRegistry::[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\aqsptzzcx][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aqsptzzcx][-HKLM\~\startupfolder\C:^Documents and Settings^Арк^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk]FileLook::c:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. попробуйте скачать Gmer и сделать ним лог. Изменено 15 февраля, 2009 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 15 февраля, 2009 Жалоба Поделиться Опубликовано 15 февраля, 2009 зеркало gmer Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 18 февраля, 2009 Автор Жалоба Поделиться Опубликовано 18 февраля, 2009 >попробуйте скачать Gmer и сделать ним лог. Заблокировано ComboFix.rar ComboFix.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 18 февраля, 2009 Автор Жалоба Поделиться Опубликовано 18 февраля, 2009 И ещё одну странность заметил, каждый раз сканируя AVZ получаю в конце такую запись >> Разрешен автозапуск с HDD >>> Разрешен автозапуск с HDD - исправлено >> Разрешен автозапуск с сетевых дисков >>> Разрешен автозапуск с сетевых дисков - исправлено >> Разрешен автозапуск со сменных носителей >>> Разрешен автозапуск со сменных носителей - исправлено Получается что автозапуск сам включается. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 февраля, 2009 Жалоба Поделиться Опубликовано 18 февраля, 2009 C:\s4.exe - проверить на http://www.virustotal.com c:\windows\system32\winlogon.exe - аналогично. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File::c:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exeh:\system\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exec:\restore\k-1-3542-4232123213-7676767-8888886\X0R.exec:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exec:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exec:\config\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exeDriver::wbzfxlxeFolder::Registry::[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX5C544541}][-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}][-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}][-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{23KLN5J0-4OPM-11WE-AAX5-24EF1D187332}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6228db6-8bd2-11dd-85b9-b5601a429917}][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"6274:TCP"=-FileLook::c:\windows\Installer\{2BD3661D-1384-4EF4-9E5C-DFDB8EE6E3EA}\ARPPRODUCTICON.exeDirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 18 февраля, 2009 Автор Жалоба Поделиться Опубликовано 18 февраля, 2009 >C:\s4.exe - проверить на http://www.virustotal.com >c:\windows\system32\winlogon.exe - аналогично. блокируется И ещё просьба выслать RSIT по почте на адрес crock<at>pochta.ru >C:\s4.exe - проверить на http://www.virustotal.com C:\s4.exe удалил, ещё вчера его не было. ComboFix.rar ComboFix.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 февраля, 2009 Жалоба Поделиться Опубликовано 18 февраля, 2009 Попался :) Сейчас полегчать должно :) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File::c:\windows\system32\xc:\windows\system32\vlqxvjwt.dllDriver::mckdwvgulFolder::c:\windows\system32\xRegistry::FileLook::DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 18 февраля, 2009 Автор Жалоба Поделиться Опубликовано 18 февраля, 2009 >Попался :) Сейчас полегчать должно :) Действительно попался, сейчас качаю обновления drweb А что это было? И RSIT то же закачался! ComboFix.rar ComboFix.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 18 февраля, 2009 Автор Жалоба Поделиться Опубликовано 18 февраля, 2009 Похоже рано радовался, Всё что разблокировалось, снова заблокировано :-( Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 февраля, 2009 Жалоба Поделиться Опубликовано 18 февраля, 2009 Это Kido. В сети кто-то заражен еще, вот и ломает. После лечения заплаткe "вкинуть" нужно. MS08-067 Повторите лог ComboFix. Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы. Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 18 февраля, 2009 Автор Жалоба Поделиться Опубликовано 18 февраля, 2009 Дополнение rsit.rar rsit.rar rsit.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 февраля, 2009 Жалоба Поделиться Опубликовано 18 февраля, 2009 RSIT Kido не может показать...маскируется. Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 19 февраля, 2009 Автор Жалоба Поделиться Опубликовано 19 февраля, 2009 >После лечения заплаткe "вкинуть" нужно. MS08-067 Заблокировано. >Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. > >File:: >c:\windows\system32\x >c:\windows\system32\vlqxvjwt.dll >Driver:: >mckdwvgul >Folder:: >c:\windows\system32\x >Registry:: Перестал работать ComboFix.exe, переименование его в Combo-Fix.exe не помогло. Появляетя окно, вверху вместо текста кракозябины, и под ним моргает курсор. И на этом процесс остонавливается. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 февраля, 2009 Жалоба Поделиться Опубликовано 19 февраля, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\x');DeleteFile('C:\WINDOWS\system32\vlqxvjwt.dll');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Попробуйте скачать Gmer с этой ссылки Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение Скачайте на другом компьютере следующие обновления и установите перед выходом в интернет. http://www.microsoft.com/technet/security/...n/MS08-067.mspx http://www.microsoft.com/technet/security/...n/ms08-068.mspx http://www.microsoft.com/technet/security/...n/ms09-001.mspx Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 19 февраля, 2009 Автор Жалоба Поделиться Опубликовано 19 февраля, 2009 После сканирования AVZ ComboFix заработал, хотя Avz ничего не нашла ComboFix.rar ComboFix.rar ComboFix.rar ComboFix.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 19 февраля, 2009 Автор Жалоба Поделиться Опубликовано 19 февраля, 2009 Всё закачал. Обновления Windows делать двойным кликом или через combofix? gmer нашол rootkit. Attach.rar DDS.rar gmer.rar Attach.rar DDS.rar gmer.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 19 февраля, 2009 Жалоба Поделиться Опубликовано 19 февраля, 2009 (изменено) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File::Driver::wbzfxlxeegelozpxuFolder::Registry::[-HKLM\SYSTEM\CurrentControlSet\Services\egelozpxu][-HKLM\SYSTEM\ControlSet002\Services\egelozpxu][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"6274:TCP"=-FileLook::DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. И лог Gmer повторите. Изменено 19 февраля, 2009 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 февраля, 2009 Жалоба Поделиться Опубликовано 19 февраля, 2009 Обновления Windows делать двойным кликом или через combofix? Двойным кликом. Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 21 февраля, 2009 Автор Жалоба Поделиться Опубликовано 21 февраля, 2009 >Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. >И лог Gmer повторите. Действия: 1.Выполнил скрипт 2.Призвел обновление виндоуз 3.Просканировал гмером ComboFix.rar gmer.rar ComboFix.rar gmer.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 21 февраля, 2009 Жалоба Поделиться Опубликовано 21 февраля, 2009 (изменено) Crock: Здравствуйте. [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0) Так вы никогда не излечитесь. Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключениях брандмауэра общий доступ к файлам и принтерам), дополнительно можете воспользоваться утилитой wwdc, описание здесь Отключите автозапуск, скачайте AutorunDisabled.zip, распакуйте и примените. Отключите административный доступ к дискам, сохраните текст ниже как noshare.reg и примените REGEDIT4[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]"AutoShareWks"=dword:00000000 Установите сложные пароли уч. записи администратора (и желателено остальных уч. записей) Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение File::C:\WINDOWS\system32\vlqxvjwt.dllDriver::egelozpxuRegistry::[-HKLM\SYSTEM\CurrentControlSet\Services\egelozpxu][-HKLM\SYSTEM\ControlSet002\Services\egelozpxu] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению Папки C:\32788R22FWJFW.1.tmpC:\32788R22FWJFW.0.tmp Можете удалить вручную. После скрипта сайты должны быть доступны. Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com Рекомендую обновить также Java JRE, см. Как обновить Java Для контроля сделайте новый лог gmer Изменено 21 февраля, 2009 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Crock Опубликовано 21 февраля, 2009 Автор Жалоба Поделиться Опубликовано 21 февраля, 2009 >После скрипта сайты должны быть доступны Сайты действительно стали доступны, но скрипт не помог, срау после его выполнения я запустил гмер, но он нашол всю ту же гадость. И еще авз выдаёт такую запись >> Безопасность: к ПК разрешен доступ анонимного пользователя как это отключить? Остальные рекомендации выполнил кроме джавы и сп3 слишком они большие для дуал-ап ComboFix.rar gmer.rar ComboFix.rar gmer.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 21 февраля, 2009 Жалоба Поделиться Опубликовано 21 февраля, 2009 запретите 445 и 139 порт (уберите в исключениях брандмауэра общий доступ к файлам и принтерам), дополнительно можете воспользоваться утилитой wwdc, описание здесь сделали? Установите сложные пароли уч. записи администратора (и желателено остальных уч. записей)Скачайте Flash Drive Disinfector и запустите утилиту сделали? По логам не вижу папки autorun.inf WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!. - REDUCED FUNCTIONALITY MODE - Консоль восстановления не установили. Java JRE не слишком много весит, впрочем если измеряете безопасность компьютера в мегабайтах и потраченном времени на настройку обновлений, то этот случай вас ничему не научит. Выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);SetServiceStart('egelozpxu', 4);DeleteService('egelozpxu');DeleteFile('C:\WINDOWS\system32\vlqxvjwt.dll');RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);BC_ImportDeletedList;ExecuteSysClean;BC_DeleteFile('C:\WINDOWS\system32\vlqxvjwt.dll');BC_DeleteSvc('egelozpxu');BC_Activate;RebootWindows(true);end. c:\windows\system32\winlogon.exe - проверьте на virustotal.com Проведите проверку утилитами KidoKiller_v3.2.rar и AVPTool Повторите все логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти