zirreX Опубликовано 18 января, 2011 Жалоба Поделиться Опубликовано 18 января, 2011 @jamarrrina, скачайте образ Dr.Web Live CD с другого компьютера, запишите на диск и пролечите систему. Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 19 января, 2011 Автор Жалоба Поделиться Опубликовано 19 января, 2011 Вчера целый день мучалась,но,наконец-то скачала этот Doctor Web LivCD .Сегодня с ним возилась с 10 утра до 18 ч,но,наверное сделала что-то не так.С интернета скачала инструкцию,загрузила диск,но он оказался на английском языке.Когда появилось меню-нажала на Dr.Web LivCD(Default),потом-сканировать,через 2 часа выдал мне результат - несколько файлов или папок с вирусами,нажала удалить,затем появилось окно меню на английском языке,нажала на доктор веб сканер,отсканировала,после этого нажала на перезагрузку и загрузилась с жесткого диска.Проверила наMalwarebytes' Anti-Malware,все равно определил вирусы,я их удалила. mbam-log-2011-01-19 (19-26-05).rar mbam-log-2011-01-19 (19-26-05).rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 19 января, 2011 Жалоба Поделиться Опубликовано 19 января, 2011 (изменено) 1)Обязательно установите все 3 патча от MS: http://www.microsoft.com/technet/sec.../MS08-067.mspx http://www.microsoft.com/technet/sec.../ms08-068.mspx http://www.microsoft.com/technet/sec.../ms09-001.mspx 2) скачайте утилиту из вложения и пролечитесь # Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере. # Запустите файл kk.exe. При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители. # Дождитесь окончания сканирования. По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия. ВниманиеЕсли на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер. 3) 1)Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. 4) повторите лог мбам kk.zip kk.zip Изменено 19 января, 2011 пользователем Sfera Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 20 января, 2011 Автор Жалоба Поделиться Опубликовано 20 января, 2011 http://www.microsoft..../MS08-067.mspx http://www.microsoft..../ms08-068.mspx http://www.microsoft..../ms09-001.mspx Эти страницы не открываются-пишет,что запрашиваемая страница не существует. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 20 января, 2011 Жалоба Поделиться Опубликовано 20 января, 2011 (изменено) Вот ссылки MS08-067 MS08-068 MS09-001 + к вышесказанным рекомендациям Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль) Отключите автозапуск программ с различных носителей, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000dd у вас уязвимая система: После лечения рекомендую обновить Platform: Windows XP SP2 (WinNT 5.01.2600) до Service Pack 3 (может потребоваться активация) Обновите Internet Explorer до IE8 даже если им не пользуетесь, иначе есть риск быть нашим постоянным пациентом) Лечитесь, жду логи Изменено 20 января, 2011 пользователем Sfera 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 21 января, 2011 Автор Жалоба Поделиться Опубликовано 21 января, 2011 Не могу зайти по этим ссылкам,может лучше переустановить Windows?Вирусы потом уберутся или останутся? Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 21 января, 2011 Жалоба Поделиться Опубликовано 21 января, 2011 (изменено) по каким ссылкам зайти не можете? если по закрытию дырок в ос, я скачаю для вас и выложу в сообщении. обождите минутку Если вы опять поставите на не отформатированный диск SP2, kido снова найдет лазейку и не только он. Давайте не будем прибегать к столь радикальным мерам, а вылечимся. Новая папка (2).zip Новая папка (2).zip Изменено 21 января, 2011 пользователем Sfera Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 21 января, 2011 Автор Жалоба Поделиться Опубликовано 21 января, 2011 По этим:MS08-067 MS08-068 MS09-001 Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 21 января, 2011 Жалоба Поделиться Опубликовано 21 января, 2011 @jamarrrina, они во вложении "новаяпапка2", в моем предыдущем сообщении: архивчик, откройте и устанавливайте Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 21 января, 2011 Автор Жалоба Поделиться Опубликовано 21 января, 2011 Sfera,я сделала первые 2 пункта,затем скачала по ссылке GMER,но после непродолжительной работы выскакивает предупреждение на англ.(который я,к сожалению,не знаю):WARNING!!! GMER hasfound system modification,which mighthave been caused by ROOTKIT activity.Dou you want to fully scan your system?И выдала результат,который я прикрепила.После этого компьютер стал сильно зависать и мне пришлось восстанавливать систему. Gmer.rar Gmer.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
goredey Опубликовано 21 января, 2011 Жалоба Поделиться Опубликовано 21 января, 2011 @jamarrrina, вы это делали? 2) скачайте утилиту из вложения и пролечитесь # Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере. # Запустите файл kk.exe. При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители. # Дождитесь окончания сканирования. По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия. ВниманиеЕсли на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 21 января, 2011 Жалоба Поделиться Опубликовано 21 января, 2011 (изменено) Доброй ночи 1)скачайте утилиты из вложения # скачайте файл SalityKiller.zip # распакуйте файл SalityKiller.zip, используя программу-архиватор (например, WinZip) # запустите файл SalityKiller.exe # после лечения может потребоваться перезагрузка. # скачайте файл Sality_RegKeys.zip # распакуйте файл Sality_RegKeys.zip, используя программу-архиватор (например, WinZip) # запустите SafeBootWinXP.reg и если не применяли твик реестра,который я вам давала ранее на отключение автозапуска программ со сьемных носителей Disable_autorun.reg из архива Sality_RegKeys.zip 2)Далее давайте попробуем такую связку GMER после предупреждения о рутките продолжить проверку (Dou you want to fully scan your system?), Лог обязательно сохранить и приложить к следующему вашему сообщению! затем повторить логи AVZ, затем лог RSIT 3)Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER приостановить их работу для корректной работы утилиты sality_regkeys.zip salitykiller.zip sality_regkeys.zip salitykiller.zip Изменено 22 января, 2011 пользователем Sfera Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 22 января, 2011 Автор Жалоба Поделиться Опубликовано 22 января, 2011 Добрый день!После сканирования GMER появляется окно:WARNING!!! GMER has found system modification caused by ROOTKIT activiti?,я нажала-да. GMER.rar virusinfo_syscheck.zip virusinfo_syscure.zip GMER.rar virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 22 января, 2011 Жалоба Поделиться Опубликовано 22 января, 2011 Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe gmer.exe -del service ckluugmer.exe -del service cvuugzgmer.exe -del service iwuzpgmer.exe -del service qcqjfgmer.exe -del file "C:\WINDOWS\system32\mawrt.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qcqjf"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iwuzp"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cvuugz"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ckluu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\qcqjf"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\iwuzp"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\cvuugz"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ckluu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kbpkyhfsy"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hgyls"gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kbpkyhfsy"gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cwmqa"gmer.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. Повторите логи Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 22 января, 2011 Автор Жалоба Поделиться Опубликовано 22 января, 2011 Где находится файл cleanup.bat? Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 22 января, 2011 Жалоба Поделиться Опубликовано 22 января, 2011 (изменено) Упс извиняюсь выполните такой скрипт gmer.exe -del service ckluugmer.exe -del service cvuugzgmer.exe -del service iwuzpgmer.exe -del service qcqjfgmer.exe -del file "c:\windows\system32\04.exe"gmer.exe -del file "c:\windows\system32\24.exe"gmer.exe -del file "c:\windows\system32\27.exe"gmer.exe -del file "c:\windows\system32\32.exe"gmer.exe -del file "c:\windows\system32\40.exe"gmer.exe -del file "c:\windows\system32\51.exe"gmer.exe -del file "c:\windows\system32\67.exe"gmer.exe -del file "c:\windows\system32\73.exe"gmer.exe -del file "c:\windows\system32\75.exe"gmer.exe -del file "C:\WINDOWS\system32\mawrt.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qcqjf"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iwuzp"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cvuugz"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ckluu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\qcqjf"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\iwuzp"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\cvuugz"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ckluu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kbpkyhfsy"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hgyls"gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kbpkyhfsy"gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cwmqa"gmer.exe -reboot Компьютер перезагрузится Изменено 22 января, 2011 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 22 января, 2011 Жалоба Поделиться Опубликовано 22 января, 2011 @jamarrrina, добрый день cleanup.bat вы должны создать сами Копируйте лог хелпера в блокнот и сохраняете его с именем и разрешением cleanup.bat перемещаете в папку с gmer.exe и оттуда запускаете на исполнение Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 22 января, 2011 Автор Жалоба Поделиться Опубликовано 22 января, 2011 Сделала,как советовал edde ,пишет:An error 0*0000002 occured during the deletion of file:C:\WINDOWS\system 32\mawrt.dll:Не найден указанный модуль. Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 22 января, 2011 Автор Жалоба Поделиться Опубликовано 22 января, 2011 edde скрипт выполнить не смогла,пишет:Ошибка BEGIN expected в позиции 1:1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 22 января, 2011 Жалоба Поделиться Опубликовано 22 января, 2011 (изменено) вы пытались выполнить этот скрипт в AVZ??? строго следуйте инструкциям 1. Откройтеблокнот и скопируйте в него текст скрипта gmer.exe -del service ckluugmer.exe -del service cvuugzgmer.exe -del service iwuzpgmer.exe -del service qcqjfgmer.exe -del file "c:\windows\system32\04.exe"gmer.exe -del file "c:\windows\system32\24.exe"gmer.exe -del file "c:\windows\system32\27.exe"gmer.exe -del file "c:\windows\system32\32.exe"gmer.exe -del file "c:\windows\system32\40.exe"gmer.exe -del file "c:\windows\system32\51.exe"gmer.exe -del file "c:\windows\system32\67.exe"gmer.exe -del file "c:\windows\system32\73.exe"gmer.exe -del file "c:\windows\system32\75.exe"gmer.exe -del file "C:\WINDOWS\system32\mawrt.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qcqjf"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\iwuzp"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cvuugz"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ckluu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\qcqjf"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\iwuzp"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\cvuugz"gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ckluu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kbpkyhfsy"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hgyls"gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kbpkyhfsy"gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cwmqa"gmer.exe -reboot 2. НажмитеФайл-Сохранить как 3. Выберете ту папку, где находится gmer.exe (gmer) 4. УкажитеТип файла - Все файлы (*.*) 5. Введите имя файла cleanup.bat и нажмите Сохранить 6. Запустите cleanup.bat Внимание:Компьютер перезагрузится!!! подготовьте новый лог gmer Изменено 22 января, 2011 пользователем Sfera Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 22 января, 2011 Автор Жалоба Поделиться Опубликовано 22 января, 2011 Я так все и сделала,но при сканировании после каждой строчки выскакивает окно:Delete Service:не найден указанный модуль.Нажимаю ok еще сканирует,потом опять это окно, потом пишет:An error 0*0000002 occured during the deletion of file:C:\WINDOWS\system 32\mawrt.dll:Не найден указанный модуль.Потом компьютер перезагружается. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 22 января, 2011 Жалоба Поделиться Опубликовано 22 января, 2011 (изменено) вы уже удалили ComboFix? если да то, скачиваем заново ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." Изменено 22 января, 2011 пользователем Sfera Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 23 января, 2011 Автор Жалоба Поделиться Опубликовано 23 января, 2011 Добрый день,я вас еще не совсем замучила? Вот текст из C:\ComboFix.txt ComboFix.rar ComboFix.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 23 января, 2011 Жалоба Поделиться Опубликовано 23 января, 2011 (изменено) нет) смотрю 1) hxxp://www.smaxi.net этот сайт вам знаком? 2)Проверьте файлы на www.virustotal.com и дайте ссылку с результатом проверки. c:\windows\regedit.exe c:\windows\system32\killcopy.exe Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll::File::Driver::cwmqakbpkyhfsyhgylshqypophvuclcsnbxvbrnfjbhpkhbsbnjhvxgtwpacvuugziwuzpqcqjfckluuNetSvc::cwmqakbpkyhfsyhgylshqypophvuclcsnbxvbrnfjbhpkhbsbnjhvxgtwpacvuugziwuzpqcqjfckluuFolder::[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"6197:TCP"=-RegLock::[HKEY_USERS\S-1-5-21-842925246-1004336348-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]FileLook::DirLook::Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Изменено 23 января, 2011 пользователем Sfera 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 23 января, 2011 Автор Жалоба Поделиться Опубликовано 23 января, 2011 Результаты проверки файлов и новый отчет ComboFix. hxxp://www.smaxi.net этот сайт мне не знаком. compact.html-1.rar report.rar ComboFix.rar compact.html-1.rar report.rar ComboFix.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти