Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Здравствуйте уважаемые!

Недавно поставил винду на комп и решил не заморачиватся с установкой антивирусов, фаерволов.... вобщем какой либо защиты.. наивно полагая что раз уж я по порносайтам не лажу, левых ссылок не открываю, то никакой угрозы нет (( Когда комп стал жутко тормозить то почувствовал неладное и установил свой любимый фаервол Outpost.. когда заглянул в сетевую активность то ужаснулся - там было много исходящих соединений от имени процесса SVHOST на неизвестные серверы, причем когда я отключал кабель интернета, то попытки этих соединений настойчиво продолжались(( так началось мое знакомство со словом rootkit... которое показал мне Outpost при сканировании, заражен был какой то файл в папке Drivers, который был перемещен в карантин и удален... как вы наверно догадались после перезагрузки этот файл появился снова... погуглив немного прочитал кучу инфы о том что такое rootkit и испробовал кучу утилит аля antirootkit от разных фирм и авторов... но все они оказались бесполезными в решении проблемы...

помимо повышенной сетевой активности,перестали работать некоторые программы которые до этого нормально функционировали, но теперь при запуске сразу закрываются с ошибкой и даже переустановка не помогает... :)

еще нашел в процессах странную вещь с названием reader_s.exe .. которая упорно прописывается в автозагрузку сколько ее оттуда не удаляй и всегда висит в процессах сколько ее не завершай :)

все шаги описанные в инструкции вроде бы выполнил верно... д-р Веб нашел кучу троянов и типа их удалил, потом AVZ нашел всю ту же кучу и то же типа их удалил... кстати пробовал решить проблему при помощи AVZ еще до обращения на ваш сайт... логи от первого, второго и т.д. сканирований были одинаковыми - обнаружена куча перехватчиков, некоторые нейтрализованы но есть и пугающие надписи типа "неопознанный перехватчик"... это значит что их не убить??? :)

пока писал сообщение еще и умер Outpost Fierwall которым я пытался хоть как то сдерживать наступление :) :) :)

и чувствую скоро провайдер забанит мне порт за вирусную активность....

помогите пожалуйста,все логи вроде прикрепил :)

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteService('protect');QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');QuarantineFile('C:\WINDOWS\system32\ea82.sys','');DeleteService('44b7F');QuarantineFile('C:\WINDOWS\system32\44b7F.sys','');DeleteService('ethzkjqr');QuarantineFile('C:\WINDOWS\system32\drivers\ethzkjqr.sys','');DeleteFile('C:\WINDOWS\system32\drivers\ethzkjqr.sys');DeleteFile('C:\WINDOWS\system32\44b7F.sys');DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес e548759d5bd6.gif В письме укажите ссылку на тему.

В АВЗ включите AVZPM и повторите логи.

Link to comment
Share on other sites

выслал письмо с файлом, включил AVZPM и сделал логи так же как в прошлый раз.... судя по ним у меня все без изменений :)

reader_s кажется исчез из процессов, но в автозагрузке этих reader_s.exe уже аж целых три :)

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

про reader_s оказывается погорячился ... появился снова и в автозагрузке и в процессах...

фаервол убит но судя по кол-ву отправляемых пакетов я сейчас жестоко спамлю множество серверов :)

не хочу быть спамером :)

интернет работает так как будто у меня не 5мб.с а диалап какой то... странно что провайдер еще не среагировал и меня не забанил....

многие программы не хотят работать.... вобщем умирает мой комп потихоньку... помогите пожалуйста :)

Link to comment
Share on other sites

C:\WINDOWS\system32\Drivers\NDIS.sys - Virus.Win32.Protector.b

Нужно заменить на чистый из дистрибутива

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Takeprofiter\reader_s.exe','');DeleteFile('C:\Documents and Settings\Takeprofiter\reader_s.exe');DeleteFileMask('C:\Documents and Settings\Takeprofiter\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделать новые логи

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...