Takeprofiter Опубликовано 18 июня, 2009 Жалоба Поделиться Опубликовано 18 июня, 2009 Здравствуйте уважаемые! Недавно поставил винду на комп и решил не заморачиватся с установкой антивирусов, фаерволов.... вобщем какой либо защиты.. наивно полагая что раз уж я по порносайтам не лажу, левых ссылок не открываю, то никакой угрозы нет (( Когда комп стал жутко тормозить то почувствовал неладное и установил свой любимый фаервол Outpost.. когда заглянул в сетевую активность то ужаснулся - там было много исходящих соединений от имени процесса SVHOST на неизвестные серверы, причем когда я отключал кабель интернета, то попытки этих соединений настойчиво продолжались(( так началось мое знакомство со словом rootkit... которое показал мне Outpost при сканировании, заражен был какой то файл в папке Drivers, который был перемещен в карантин и удален... как вы наверно догадались после перезагрузки этот файл появился снова... погуглив немного прочитал кучу инфы о том что такое rootkit и испробовал кучу утилит аля antirootkit от разных фирм и авторов... но все они оказались бесполезными в решении проблемы... помимо повышенной сетевой активности,перестали работать некоторые программы которые до этого нормально функционировали, но теперь при запуске сразу закрываются с ошибкой и даже переустановка не помогает... :) еще нашел в процессах странную вещь с названием reader_s.exe .. которая упорно прописывается в автозагрузку сколько ее оттуда не удаляй и всегда висит в процессах сколько ее не завершай :) все шаги описанные в инструкции вроде бы выполнил верно... д-р Веб нашел кучу троянов и типа их удалил, потом AVZ нашел всю ту же кучу и то же типа их удалил... кстати пробовал решить проблему при помощи AVZ еще до обращения на ваш сайт... логи от первого, второго и т.д. сканирований были одинаковыми - обнаружена куча перехватчиков, некоторые нейтрализованы но есть и пугающие надписи типа "неопознанный перехватчик"... это значит что их не убить??? :) пока писал сообщение еще и умер Outpost Fierwall которым я пытался хоть как то сдерживать наступление :) :) :) и чувствую скоро провайдер забанит мне порт за вирусную активность.... помогите пожалуйста,все логи вроде прикрепил :) info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 июня, 2009 Жалоба Поделиться Опубликовано 18 июня, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteService('protect');QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');QuarantineFile('C:\WINDOWS\system32\ea82.sys','');DeleteService('44b7F');QuarantineFile('C:\WINDOWS\system32\44b7F.sys','');DeleteService('ethzkjqr');QuarantineFile('C:\WINDOWS\system32\drivers\ethzkjqr.sys','');DeleteFile('C:\WINDOWS\system32\drivers\ethzkjqr.sys');DeleteFile('C:\WINDOWS\system32\44b7F.sys');DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В письме укажите ссылку на тему. В АВЗ включите AVZPM и повторите логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Takeprofiter Опубликовано 18 июня, 2009 Автор Жалоба Поделиться Опубликовано 18 июня, 2009 выслал письмо с файлом, включил AVZPM и сделал логи так же как в прошлый раз.... судя по ним у меня все без изменений :) reader_s кажется исчез из процессов, но в автозагрузке этих reader_s.exe уже аж целых три :) virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Takeprofiter Опубликовано 18 июня, 2009 Автор Жалоба Поделиться Опубликовано 18 июня, 2009 на всякий случай сделал еще раз и эти логи info.txt log.txt info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Takeprofiter Опубликовано 18 июня, 2009 Автор Жалоба Поделиться Опубликовано 18 июня, 2009 про reader_s оказывается погорячился ... появился снова и в автозагрузке и в процессах... фаервол убит но судя по кол-ву отправляемых пакетов я сейчас жестоко спамлю множество серверов :) не хочу быть спамером :) интернет работает так как будто у меня не 5мб.с а диалап какой то... странно что провайдер еще не среагировал и меня не забанил.... многие программы не хотят работать.... вобщем умирает мой комп потихоньку... помогите пожалуйста :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Takeprofiter Опубликовано 22 июня, 2009 Автор Жалоба Поделиться Опубликовано 22 июня, 2009 мде... помощи видимо не будет....((( Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 23 июня, 2009 Жалоба Поделиться Опубликовано 23 июня, 2009 C:\WINDOWS\system32\Drivers\NDIS.sys - Virus.Win32.Protector.b Нужно заменить на чистый из дистрибутива Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Takeprofiter\reader_s.exe','');DeleteFile('C:\Documents and Settings\Takeprofiter\reader_s.exe');DeleteFileMask('C:\Documents and Settings\Takeprofiter\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделать новые логи Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.