Свежий вирус?

Тема в разделе "Вирусы и другие вредоносные программы", создана пользователем Uri62, 24 авг 2010.

  1. BigPlus Участник

    Регистрация:
    22 окт 2009
    Сообщения:
    65
    Симпатии:
    33
    Провайдер:
    Энлинк
    в коммандной строке:
    route print
     
  2. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Это не совсем то. Во-первых, так можно ПОСМОТРЕТЬ действующие маршруты. А я спрашивал как можно не только посмотреть, но и отредактировать.
    Во-вторых, в теперешнем состоянии моей ОС там "Постоянные маршруты: отсутствуют". Ведь команда route print поискала их в каком-то файле (ключе реестра?), не нашла и написала об отсутствии. Вот я и хочу узнать, где она "посмотрела".
     
  3. Predtecha Администратор Команда форума

    Регистрация:
    28 июл 2007
    Сообщения:
    2.739
    Симпатии:
    1.219
    Провайдер:
    МТС
    Постоянные маршруты хранятся в реестре по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
     
  4. VlaSok Местный

    Регистрация:
    16 мар 2008
    Сообщения:
    1.020
    Симпатии:
    580
    Провайдер:
    Видикон
    Можно конечно, как сказал Predtecha, через реестр их править. Но правильнее все же через команду route их просматривать, удалять, добавлять и т.д. Справка по использованию команды - "route /?".
     
  5. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Это драйвер Даемона . Существует только в памяти . На диске его нет .
    Не всё . Хвосты могли остаться . Теперь на Вирусинфо проверяться .
    Могу ещё посоветовать отключить включённые у тебя службы -
    Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe и
    NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe
    ну и на досуге почитай вот это :
     

    Вложения:

    • EBook30.rar
      Размер файла:
      848,1 КБ
      Просмотров:
      9
    1 человеку нравится это.
  6. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    А вот это - то. Спасибо. Жаль, что не поглядел перед очисткой. Возможно, можно было бы увидеть IP источника заразы.
    Отключил. Почитаю. Хотя, конечно, справочник, например, в chm, удобнее. Но и pdf лучше, чем ничего. Слегка глянул в эту книжку. На первый взгляд - читать можно.
     
  7. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Читать нужно .
    Установи IE8 , даже если не используешь его .
    Выкладываю скрипт для проверки уязвимостей . Открой AVZ , файл - выполнить
    скрипт - загрузить ( указываешь путь к этому скрипту ) - выполнить . Результат будет в папке AVZ в папке LOG . Если есть уязвимости - устрани их .
     

    Вложения:

    • ScanVuln.txt
      Размер файла:
      22,6 КБ
      Просмотров:
      4
  8. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Эх, я похоже все самое интересное пропустил :) Переехал на новую квартиру в Зеленограде, интернет придут подключать в понедельник.

    Если проблема еще осталась, покажите логи hijack и avz, я гляну пока в Рязани нахожусь.
     
  9. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Тут вроде все чисто, обычный набор для семерки, но без лога AVZ на 100% сказать трудно.
     
  10. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Снова сделать лог HJ, и если еще там есть, то пофиксить:
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\6a65d128.exe,D:\WINDOWS\system32\cixtjv.exe,
    O4 - Startup: AutorunsDisabled
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    
    Пофиксить, если не знаешь, откуда это:
    Код:
    O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [LinkDel] linkdel.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [LinkDel] linkdel.cmd (User 'Default user')
    
    Это действительно такие настройки?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A8F0BDF4-4715-4B96-8EA8-0A88CFD96C29}: NameServer = 192.168.2.1
    
    Руками в реестре ничего править не надо! В большинстве случаев это бесполезно.
     
  11. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Uri,
    Смотрел сегодня логи на машину с заражением по типу твоего . Только там были логи AVZ , которые ты не захотел сделать . Так там кроме вышеуказанного сидела ещё одна зараза . Проверь у себя такой путь :
    D:\Program Files\Internet Explorer\setupapi.dll . Так вот setupapi.dll - тоже зараза .
     
  12. Uri62 Рыболов Команда форума

    Регистрация:
    19 авг 2009
    Сообщения:
    2.096
    Симпатии:
    1.490
    Провайдер:
    Мультинекс
    Не захотел? Во-первых, я их делал. Сюда не выкладывал. Этого, собственно, никто и не просил.
    Во-вторых, тяжело делать логи из другого города. На следующее утро после вечера борьбы с заразой я уехал в командировку.
     
  13. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Если такая зараза сидит, то в системе постоянно будут выскакивать окошки с ошибкой и ругательной надписью про setupapi.dll, потому как системная библиотека находится не по своему местоположению, а браузер первым делом обращается к библиотекам из своей директории. Но этот трюк настолько древний, что я уж не думаю, что современные вирусописатели им еще пользуются.
     
  14. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Как видишь пользуются . Вот например - VirusInfo - Показать сообщение отдельно - Sisgbi32.exe помогите избавиться, комп не заходит в безопасный режим и это не единичный случай .
    Справедливо если IE - браузер по умолчанию .
     

Пользователи просматривающие тему (Пользователей: 0, Гостей: 0)