Sfera Опубликовано 23 января, 2011 Жалоба Поделиться Опубликовано 23 января, 2011 (изменено) вобщем то так 1) загружаем на чистом компе утилиту CureIt! http://www.freedrweb.com/cureit/, записываем на флешку и лечим недолеченное файловое заражение из безопасного режима 2) повторяем лог ComboFix + 3) обновляем систему до SP3! обязательно, иначе не вылечимся, можно тоже загружать с флешки Service Pack 3 (может потребоваться активация) Изменено 23 января, 2011 пользователем Sfera Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 25 января, 2011 Автор Жалоба Поделиться Опубликовано 25 января, 2011 Огромное спасибо всем,кто помогал мне лечить компьютер.При сканировании вирусы не определяются,подскажите надо ли еще что-то делать для безопасности? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 25 января, 2011 Жалоба Поделиться Опубликовано 25 января, 2011 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Повторите логи для контроля. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 25 января, 2011 Автор Жалоба Поделиться Опубликовано 25 января, 2011 Посмотрите,пожалуйста,логи.Что там? virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 25 января, 2011 Жалоба Поделиться Опубликовано 25 января, 2011 Ничего вредного не вижу. если нет жалоб, тогда всё :) Будьте здоровы Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 25 января, 2011 Жалоба Поделиться Опубликовано 25 января, 2011 (изменено) @jamarrrina, Весьма за вас рада) чистого инета,будьте здоровы хотя после такого серьезного заражения я бы хотела увидеть повторный лог ComboFix, дабы удостовериться в чистоте системы. Я вижу вы установили таки SP3-похвально! что из этого вам не нужно? Поиск потенциальных уязвимостей>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) рекомендую отключить автозапуск программ с различных носителей, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000dd Про смену паролей я уже писала, если на учетке админа пароля нет-установить!!! Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли Рекомендуем для предотвращения заражения: - не работать за компьютером с правами администратора - при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. Изменено 25 января, 2011 пользователем Sfera Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 26 января, 2011 Автор Жалоба Поделиться Опубликовано 26 января, 2011 Sfera все Ваши рекомендации выполнила,вот лог ComboFix,посмотрите,пожалуйста,что там? ComboFix.rar ComboFix.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 26 января, 2011 Жалоба Поделиться Опубликовано 26 января, 2011 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll::File::Driver::Folder::[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"6197:TCP"=-RegLock::[HKEY_USERS\S-1-5-21-842925246-1004336348-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]FileLook::DirLook::Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Сделайте также HijackThis у меня во вложении, приложите лог-пофиксим в нем вот эту гадость hxxp://www.smaxi.net HiJackThis.zip HiJackThis.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 26 января, 2011 Автор Жалоба Поделиться Опубликовано 26 января, 2011 Сфера не поняла,как делать последний пункт,вот новый отчет ComboFix, ComboFix.rar ComboFix.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 26 января, 2011 Жалоба Поделиться Опубликовано 26 января, 2011 (изменено) не поняла,как делать последний пункт Как пофиксить с помощью HijackThis. Изменено 26 января, 2011 пользователем Matias Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 26 января, 2011 Жалоба Поделиться Опубликовано 26 января, 2011 @jamarrrina, смотрим здесь как создать лог HijackThis Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
jamarrrina Опубликовано 26 января, 2011 Автор Жалоба Поделиться Опубликовано 26 января, 2011 Лог HijackThis прикрепила,простите,у меня в голове уже каша от всех этих логов,как Вы во всем этом разбираетесь? hijackthis.log hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 27 января, 2011 Жалоба Поделиться Опубликовано 27 января, 2011 (изменено) фиксим в HijackThis 1) Запустить программу HijackThis 2) Нажать на кнопку Do system scan only 3) Найти в появившемся отчете указанные Вам пункты и поставить галочку в квадрате слева от каждого из них 4) Нажать кнопку Fix checked R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.netR3 - URLSearchHook: (no name) - - (no file) Вы из Дмитрова? провайдер Ваш Link ? если эти DNS не ваши, пофиксить эти строчки тоже и ввести свои настройки (если не знаете настройки, сначала узнать, а только потом фиксить) O17 - HKLM\System\CCS\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CCS\Services\Tcpip\..\{DFD5BAD4-4DDB-42D8-94C8-615096DFAE60}: NameServer = 62.122.96.5 62.122.97.3O17 - HKLM\System\CS1\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CS2\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CS3\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CS4\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CS5\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CS6\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CS7\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CS8\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3O17 - HKLM\System\CS9\Services\Tcpip\..\{283D0150-80C4-4490-AF3D-C6FD8D0CB80D}: NameServer = 62.122.96.5,62.122.97.3 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Больше ничего плохого, придерживайтесь рекомендаций Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли Рекомендуем для предотвращения заражения: - не работать за компьютером с правами администратора - в Internet Explorer отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. Изменено 27 января, 2011 пользователем Sfera Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.