4aster Posted May 13, 2009 Report Share Posted May 13, 2009 Гдето зацепил заразу. NIS 2008 пропустил... Пытался удалить вручную и с помощью CureIt, но видать не все так просто, Фаервол постоянно пишет о блокировании доступа в сеть каких-то процессов типа темп0-34578. Ерунда вроде. В общем, оцените логи, пожалуйста! virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Link to comment Share on other sites More sharing options...
4aster Posted May 13, 2009 Author Report Share Posted May 13, 2009 в принципе вижу какой-то запущенный процесс C:\WINDOWS\TEMP\tempo-462609.tmp + ХайДжек сообщил об изменении c:/autorun... вобщем, пока ничего не трогаю... Заранее спасибо за советы! Link to comment Share on other sites More sharing options...
thyrex Posted May 14, 2009 Report Share Posted May 14, 2009 C:\WINDOWS\system32\dll.dll проверьте на virustotal Ссылку на результат проверки сообщите Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\autorun.inf','');DeleteFile('C:\autorun.inf');DeleteFileMask(‘c:\windows\temp\', '*. *', true);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Ваши DNS 85.255.112.20,85.255.112.141, 85.255.112.104,85.255.112.155 ? Ваш провайдер? org-name: UkrTeleGroup Ltd.address: UkrTeleGroup Ltd. Mechnikova 58/5 65029 Odessa Ukraine Если нет, то пофиксить в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA52380-ACA9-4041-977A-2433DD211FE9}: NameServer = 85.255.112.20,85.255.112.141O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.20,85.255.112.141O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.104,85.255.112.155O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.20,85.255.112.141 В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы). Сделайте новые логи. Link to comment Share on other sites More sharing options...
4aster Posted May 14, 2009 Author Report Share Posted May 14, 2009 C:\WINDOWS\system32\dll.dll проверьте ... не нашел я у себя этой библиотеки, ни по этому адресу, ни по другим... Ваши DNS 85.255.112.20,85.255.112.141, 85.255.112.104,85.255.112.155 ? Ваш провайдер? нет!!! не мой! до Украины как до луны... (еще вопрос, что дешевле...) Link to comment Share on other sites More sharing options...
Alex56 Posted May 14, 2009 Report Share Posted May 14, 2009 Все рекомендации выполнили? Что с проблемами? Это троянсике DNS, они вам не к чему. Что дешевле узнавайте у вашего провайдера. Link to comment Share on other sites More sharing options...
4aster Posted May 14, 2009 Author Report Share Posted May 14, 2009 Что с проблемами? проблемы прежние - NIS2008 блокирует доступ к сети, вируса не видит но он есть... DNS пофиксил... Что дешевле узнавайте у вашего провайдера. про Луну пошутить пытался, не все уж так серьезно ))) Link to comment Share on other sites More sharing options...
thyrex Posted May 14, 2009 Report Share Posted May 14, 2009 А почему тогда не выполняете В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы). Сделайте новые логи. Link to comment Share on other sites More sharing options...
4aster Posted May 14, 2009 Author Report Share Posted May 14, 2009 А почему тогда не выполняете быстро сказка сказывается, да не быстро дело делается... прогоняю заново, делаю логи... карантин по адресу отправил! новые логи - пожалуйста... virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Link to comment Share on other sites More sharing options...
thyrex Posted May 14, 2009 Report Share Posted May 14, 2009 Уже что-то новенькое Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys','');QuarantineFile('C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll','');DeleteFile('C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll');DeleteFile('C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Пофиксить в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA52380-ACA9-4041-977A-2433DD211FE9}: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210 Сделайте новые логи Дополнительно: Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Link to comment Share on other sites More sharing options...
4aster Posted May 14, 2009 Author Report Share Posted May 14, 2009 мозг закипел... :D вот новые логи! (Нортон проснулся, целый день ругается: "Лошади! Лошади!") virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt 123.log virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt 123.log Link to comment Share on other sites More sharing options...
4aster Posted May 15, 2009 Author Report Share Posted May 15, 2009 получил ответ от Касперов: ptahrsbf.sys - Rootkit.Win32.Agent.kqa Детектирование файла будет добавлено в следующее обновление. Link to comment Share on other sites More sharing options...
Pili Posted May 15, 2009 Report Share Posted May 15, 2009 Нортон проснулся, целый день ругается: "Лошади! Лошади!" Правильно ругается. у него "открылись глаза" после удаления руткита :D Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe gmer.exe -del service gxvxcserv.sysgmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcputhesruxngwwyrjnshvbnevptahrsbf.sys"gmer.exe -del file "C:\WINDOWS\system32\gxvxcolgdpiqveoqppbpuesetgesawrcuwmyn.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys"gmer -reboot И запустите cleanup.bat Проверьте систему на всякий случай с помощью Malwarebytes' Anti-Malware. Скачайте MВАМ здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Link to comment Share on other sites More sharing options...
4aster Posted May 15, 2009 Author Report Share Posted May 15, 2009 Pili , все сделал, вот лог, спасибо! mbam_log_2009_05_15__12_05_23_.txt mbam_log_2009_05_15__12_05_23_.txt Link to comment Share on other sites More sharing options...
thyrex Posted May 15, 2009 Report Share Posted May 15, 2009 Похоже MBAM добил остатки зловредов семейства gxvx. Для контроля сделайте лог gmer Link to comment Share on other sites More sharing options...
4aster Posted May 16, 2009 Author Report Share Posted May 16, 2009 Для контроля сделайте лог gmer выкладываю! Действительно похоже, что всю бяку вычистили! Всем большое человеческое спасибо!!! 123.log 123.log Link to comment Share on other sites More sharing options...
thyrex Posted May 16, 2009 Report Share Posted May 16, 2009 В этом логе чисто. Если DNS-адреса уже пофиксили в HiJack, тогда зловредов больше быть не должно В качестве рекомендаций Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы Советую прочитать Безопасный Интернет. Универсальная защита для Windows ME - Vista, Базовая концепция системы безопасности ОС Windows семейства NT Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ Чистого Вам Интернета! Link to comment Share on other sites More sharing options...
4aster Posted May 17, 2009 Author Report Share Posted May 17, 2009 thyrex отдельное спасибо за советы, перечисленным софтом пользуюсь давно, а вот про настройки системы - это в десятку! Еще раз благодарю за помощь! :g: Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now