lamauser Опубликовано 17 апреля, 2009 Жалоба Поделиться Опубликовано 17 апреля, 2009 Добрый день. Веб нашел два вируса, названия к сожалению не запомнил, но помню, что один был в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\****** а второй в C:\WINDOWS\system32\x Веб лиц. с утренними базами, так что проблем не ожидал, однако после этого комп начал неадекватно себя вести. Перезагружаться, при включении spider guard около минуты висит неактивным. Начали выскакивать ошибки svchost.exe, то память не может быть записана, то исключение unknown software exeption(0x00000fd) в приложении по адресу 0х5bd68ab9 ок-завершение, отмена-отладка. Поскольку началось минут через 30 после удаления вируса, подозреваю, что не долечился. Прошелся свежим курейтом в сейф моде, чисто. Вот логи. Прошу помощи. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 апреля, 2009 Жалоба Поделиться Опубликовано 17 апреля, 2009 Kido подхватили. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix: Скачайте установочный файл для своей ОС и сохраните на рабочий стол. Windows XP Professional с пакетом обновления 2 (SP2) Windows XP Home Edition с пакетом обновления 2 (SP2) Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2 Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы. Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. 2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 17 апреля, 2009 Автор Жалоба Поделиться Опубликовано 17 апреля, 2009 Kido подхватили. я просто счастлив :blush2: , утречком заимусь :blush2: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 17 апреля, 2009 Автор Жалоба Поделиться Опубликовано 17 апреля, 2009 1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix: Скачайте установочный файл для своей ОС и сохраните на рабочий стол. Windows XP Professional с пакетом обновления 2 (SP2) Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. 2. Вопрос, сначала проделать все что в инструкции по комбо, выключить его и перетащить на его иконку дистриб консоли?, чето я в 2 ночи туплю) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 18 апреля, 2009 Автор Жалоба Поделиться Опубликовано 18 апреля, 2009 пертаскиваю, открывается синие окошко и тишина, нет ни надиси о том что он готовится к работе, ни лиц соглашения... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 18 апреля, 2009 Автор Жалоба Поделиться Опубликовано 18 апреля, 2009 Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) Reg HKLM\SYSTEM\CurrentControlSet\Services\brgxq Reg HKLM\SYSTEM\ControlSet002\Services\brgxq :blush2: SDFix: Version 1.240 Run by X1 on 18.04.2009 at 06:41 Microsoft Windows XP [‚ҐабЁп 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Report.txt gmer.log Report.txt gmer.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 18 апреля, 2009 Жалоба Поделиться Опубликовано 18 апреля, 2009 Если лог gmer делался позже, то выполните ниже приведенные инструкции (судя по времени так оно и есть) Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe gmer.exe -del service brgxqgmer.exe -del file "C:\WINDOWS\system32\ummexsba.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\brgxq"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\brgxq"gmer -reboot И запустите cleanup.bat Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 18 апреля, 2009 Автор Жалоба Поделиться Опубликовано 18 апреля, 2009 (изменено) И запустите cleanup.bat сделал, во время отработки скрипта, выскочило окошко что ключ HKLM\SYSTEM\ControlSet002\Services\brgxq не может быть удален вот новый лог gmer ошибки все лезут :D gmer2.log gmer2.log Изменено 18 апреля, 2009 пользователем lamauser Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 апреля, 2009 Жалоба Поделиться Опубликовано 18 апреля, 2009 Пропустите этап с консолью и сделайте лог комбофикса. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 18 апреля, 2009 Автор Жалоба Поделиться Опубликовано 18 апреля, 2009 (изменено) Пропустите этап с консолью и сделайте лог комбофикса. Вот combo-просто лог combo_console-лог с консолью з.ы Установил патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Обновил Веб до 5.0 кидокиллер от каспера ничего не видит. combo.txt combo_console.txt combo.txt combo_console.txt Изменено 18 апреля, 2009 пользователем lamauser Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 апреля, 2009 Жалоба Поделиться Опубликовано 18 апреля, 2009 Отключите автозапуск со съемных носителей Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File::G:\u.batc:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007103120071101\index.datDriver::dlclcbrgxqFolder::Registry::[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"7759:TCP"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{731c45a3-4a60-11dd-8be2-001d7d5c97b9}]FileLook::DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 18 апреля, 2009 Жалоба Поделиться Опубликовано 18 апреля, 2009 lamauser, эта тема и тема на VI (http://virusinfo.info/showthread.php?t=44061) один и тот же компьютер? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 18 апреля, 2009 Автор Жалоба Поделиться Опубликовано 18 апреля, 2009 (изменено) Сделал, почему то прежде чем появился инет пришлось несколько раз перезагрузиться... thyrex да, но лечение осуществляю сдесь. з.ы скрип исчез с рабочего стола, а из корня с изчезла папка ComboFix ComboFix.rar ComboFix.rar Изменено 18 апреля, 2009 пользователем lamauser Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 апреля, 2009 Жалоба Поделиться Опубликовано 18 апреля, 2009 Признаков Kido не вижу. Если проблем нет, то: Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Если есть, то повторите лог Gmer. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 18 апреля, 2009 Автор Жалоба Поделиться Опубликовано 18 апреля, 2009 отправил C:\SDFix\backups\backups.zip не существует, есть бек реестра, его выслал. Хотелось бы узнать, что именно добило зловреда, есть ли вероятность что вирус есть на флешке которую я подключал к зараженой станции? Как её вылечить если там важная инфа и форматировать нежелательно. Всем большое спасибо. Проблем пока нет. :D Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 апреля, 2009 Жалоба Поделиться Опубликовано 18 апреля, 2009 Kido садится на флешки. Для безопасной работы лучше отключить автозапуск и почистить флешки при помощи файлового менеджера (far, total end ect.) В карантин ничего инетересного не далось. Машину необходимо проверить антивирусом, для ловли неактивных хвостов Kido. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 19 апреля, 2009 Автор Жалоба Поделиться Опубликовано 19 апреля, 2009 какие файлы искать на флешках? подозрительного ничего не видно прошелся полной проверкай веба 5.0 в обычном режиме..ругнулся только на комбофикс. вроде все работает Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.