4aster Опубликовано 13 мая, 2009 Жалоба Поделиться Опубликовано 13 мая, 2009 Гдето зацепил заразу. NIS 2008 пропустил... Пытался удалить вручную и с помощью CureIt, но видать не все так просто, Фаервол постоянно пишет о блокировании доступа в сеть каких-то процессов типа темп0-34578. Ерунда вроде. В общем, оцените логи, пожалуйста! virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 13 мая, 2009 Автор Жалоба Поделиться Опубликовано 13 мая, 2009 в принципе вижу какой-то запущенный процесс C:\WINDOWS\TEMP\tempo-462609.tmp + ХайДжек сообщил об изменении c:/autorun... вобщем, пока ничего не трогаю... Заранее спасибо за советы! Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 14 мая, 2009 Жалоба Поделиться Опубликовано 14 мая, 2009 C:\WINDOWS\system32\dll.dll проверьте на virustotal Ссылку на результат проверки сообщите Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\autorun.inf','');DeleteFile('C:\autorun.inf');DeleteFileMask(‘c:\windows\temp\', '*. *', true);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Ваши DNS 85.255.112.20,85.255.112.141, 85.255.112.104,85.255.112.155 ? Ваш провайдер? org-name: UkrTeleGroup Ltd.address: UkrTeleGroup Ltd. Mechnikova 58/5 65029 Odessa Ukraine Если нет, то пофиксить в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA52380-ACA9-4041-977A-2433DD211FE9}: NameServer = 85.255.112.20,85.255.112.141O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.20,85.255.112.141O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.104,85.255.112.155O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.20,85.255.112.141 В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы). Сделайте новые логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 C:\WINDOWS\system32\dll.dll проверьте ... не нашел я у себя этой библиотеки, ни по этому адресу, ни по другим... Ваши DNS 85.255.112.20,85.255.112.141, 85.255.112.104,85.255.112.155 ? Ваш провайдер? нет!!! не мой! до Украины как до луны... (еще вопрос, что дешевле...) Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex56 Опубликовано 14 мая, 2009 Жалоба Поделиться Опубликовано 14 мая, 2009 Все рекомендации выполнили? Что с проблемами? Это троянсике DNS, они вам не к чему. Что дешевле узнавайте у вашего провайдера. Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 Что с проблемами? проблемы прежние - NIS2008 блокирует доступ к сети, вируса не видит но он есть... DNS пофиксил... Что дешевле узнавайте у вашего провайдера. про Луну пошутить пытался, не все уж так серьезно ))) Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 14 мая, 2009 Жалоба Поделиться Опубликовано 14 мая, 2009 А почему тогда не выполняете В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы). Сделайте новые логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 А почему тогда не выполняете быстро сказка сказывается, да не быстро дело делается... прогоняю заново, делаю логи... карантин по адресу отправил! новые логи - пожалуйста... virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 14 мая, 2009 Жалоба Поделиться Опубликовано 14 мая, 2009 Уже что-то новенькое Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys','');QuarantineFile('C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll','');DeleteFile('C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll');DeleteFile('C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Пофиксить в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA52380-ACA9-4041-977A-2433DD211FE9}: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210 Сделайте новые логи Дополнительно: Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 мозг закипел... :D вот новые логи! (Нортон проснулся, целый день ругается: "Лошади! Лошади!") virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt 123.log virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt 123.log Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 15 мая, 2009 Автор Жалоба Поделиться Опубликовано 15 мая, 2009 получил ответ от Касперов: ptahrsbf.sys - Rootkit.Win32.Agent.kqa Детектирование файла будет добавлено в следующее обновление. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 15 мая, 2009 Жалоба Поделиться Опубликовано 15 мая, 2009 Нортон проснулся, целый день ругается: "Лошади! Лошади!" Правильно ругается. у него "открылись глаза" после удаления руткита :D Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe gmer.exe -del service gxvxcserv.sysgmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys"gmer.exe -del file "C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys"gmer -reboot И запустите cleanup.bat Проверьте систему на всякий случай с помощью Malwarebytes' Anti-Malware. Скачайте MВАМ здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 15 мая, 2009 Автор Жалоба Поделиться Опубликовано 15 мая, 2009 Pili , все сделал, вот лог, спасибо! mbam_log_2009_05_15__12_05_23_.txt mbam_log_2009_05_15__12_05_23_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 15 мая, 2009 Жалоба Поделиться Опубликовано 15 мая, 2009 Похоже MBAM добил остатки зловредов семейства gxvx. Для контроля сделайте лог gmer Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 Для контроля сделайте лог gmer выкладываю! Действительно похоже, что всю бяку вычистили! Всем большое человеческое спасибо!!! 123.log 123.log Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 В этом логе чисто. Если DNS-адреса уже пофиксили в HiJack, тогда зловредов больше быть не должно В качестве рекомендаций Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы Советую прочитать Безопасный Интернет. Универсальная защита для Windows ME - Vista, Базовая концепция системы безопасности ОС Windows семейства NT Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ Чистого Вам Интернета! Ссылка на комментарий Поделиться на другие сайты Поделиться
4aster Опубликовано 17 мая, 2009 Автор Жалоба Поделиться Опубликовано 17 мая, 2009 thyrex отдельное спасибо за советы, перечисленным софтом пользуюсь давно, а вот про настройки системы - это в десятку! Еще раз благодарю за помощь! :g: Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти