Видимо что-то случилось...

Тема в разделе "Техподдержка", создана пользователем Sergik'85, 21 апр 2010.

  1. Sergik'85 Good_Win

    Регистрация:
    30 ноя 2007
    Сообщения:
    40
    Симпатии:
    10
    Grand Father, обновление антивирусных баз происходит регулярно.
    Сделал всё по инструкции, во время проверки опять были куча вирусов, лог вложил. Заранее благодарен!
     

    Вложения:

    • hijackthis.txt
      Размер файла:
      12,8 КБ
      Просмотров:
      9
  2. v_aist_ Местный

    Регистрация:
    12 янв 2008
    Сообщения:
    2.147
    Симпатии:
    878
    Провайдер:
    Видикон
    Sergik'85, я так понимаю, у тебя не антивируса ни файрвола не было? Наверное будет легче сохранить всю ценную информацию с диска "С" и пере установить систему. Сразу после установки поставить антивирь и файрвол, а уж потом делать подключение к тырнету и обновлять базы...
     
  3. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Пофиксить срочно!
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\d08eb06a.exe,\\?\globalroot\systemroot\system32\MsSLbq4.exe,\\?\globalroot\systemroot\system32\mXT3G1T.exe,
    СМС-баннер давно на компе?

    Тоже гадость, хоть антивирусы считают чистым
    Код:
    BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll
    Если это не знакомо, тоже пофиксить
    Код:
    O4 - HKLM\..\Run: [Windows Services] filename.exe
    Можно пофиксить
    Код:
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    
    Чтобы вычистить все, придется скачивать AVZ. Отключи Восстановление системы, антивирусы и интернет. Запусти стандартный скрипт 3: Меню "Файл" --> Стандартные скрипты.
    Перезагрузка.
    После перезагрузки подключи интернет и оттуда же --> Стандартный скрипт 2.
    Логи из папки Log выложи сюда. Напишу скрипт, чтоб вычистить все.
     
  4. Spirit[root] Участник

    Регистрация:
    3 сен 2009
    Сообщения:
    87
    Симпатии:
    11
    Провайдер:
    Мультинекс
    это вирус, который пытаеться запустить exploit
     
  5. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Найти вирусы и вычистить их все можно за 1 час. А переставить систему и заново установить и настроить все нужные программы - на это уйдет как минимум сутки. Как-то не очень вяжется со словом "легче".
     
  6. v_aist_ Местный

    Регистрация:
    12 янв 2008
    Сообщения:
    2.147
    Симпатии:
    878
    Провайдер:
    Видикон
    Grand Father, Теме 4 дня. За это время ты систему вылечил?
     
  7. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    v_aist_,
    В данном случае это не только от меня зависит. Как только я посмотрел лог HJ, я написал свои рекомендации. Если б у меня был доступ к больной машине, она б уже нормально работала. Так что твою реплику считаю абсолютно необоснованной.
     
  8. Sergik'85 Good_Win

    Регистрация:
    30 ноя 2007
    Сообщения:
    40
    Симпатии:
    10
    v_aist_, в принципе так конечно оно проще, но действительно хочется избежать переустановки системы...
    Grand Father, профиксил всё через HP, сделал скрипры на AVZ... В-общем вышло следующее...
     

    Вложения:

    • LOG.rar
      Размер файла:
      91,9 КБ
      Просмотров:
      1
  9. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Sergik'85,
    после фикса HJ что-нибудь изменилось? почему только один лог в архиве? должно быть два. Сейчас пока его посмотрю.
     
  10. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Базы AVZ тоже надо было обновить. И SP3 на Windows надо бы уже поставить давно. Сборка не лицензионная, да?
     
  11. Sergik'85 Good_Win

    Регистрация:
    30 ноя 2007
    Сообщения:
    40
    Симпатии:
    10
    После фикса вроде окно стало реже выскакивать... Хотя не уверен... Систему я еще с покупки ноута не перестанавливал, но по-моему она не лицушная! А лог один даж не знаю почему, видимо что-то не так сделал)))
     
  12. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    AVZ: Файл --> Выполнить скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\ckldrv.sys', '');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\d08eb06a.exe', '');
     QuarantineFile('C:\WINDOWS\system32\MsSLbq4.exe', '');
     QuarantineFile('C:\WINDOWS\system32\mXT3G1T.exe', '');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\d08eb06a.exe');
     DeleteFile('C:\WINDOWS\system32\MsSLbq4.exe');
     DeleteFile('C:\WINDOWS\system32\mXT3G1T.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    Система перезагрузится.

    После перезагрузки - AVZ: Файл --> Обновление баз.
    Отключаем антивирус, файрвол, интернет.
    Запускаем: AVZ: Файл --> Стандартные скрипты --> Скрипт №3.
    Перезагрузка.
    Подключаем интернет.
    Запускаем: AVZ: Файл --> Стандартные скрипты --> Скрипт №2.
    Сделать лог HijackThis.
    Все логи и карантин AVZ выложить сюда или мне в личку. Поставить SP3 на XP.
    И когда логи будешь делать, отключи все лишние программы. Уж очень много мусора собрал.

    Завтра еще на трезвую голову гляну :)
     
  13. Sergik'85 Good_Win

    Регистрация:
    30 ноя 2007
    Сообщения:
    40
    Симпатии:
    10
    Прописал скрипт - проблема разрешилась! На всякий случай ещё раз сделал все логи и поставил SP. Благодарю за профессиональную помощь! Век живи - век учись...
     

    Вложения:

    • логи.rar
      Размер файла:
      98,7 КБ
      Просмотров:
      2
  14. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    В карантин вероятно попал хвост от Kido. Но самого его в системе вроде бы нет. На всякий случай почитай тут и сделай, что написано. Там же можно скачать KidoKiller.
    И обязательно обновить IE до 8 версии, даже если им не пользуешься. Неплохо было бы также поставить обновления Windows, вышедшие после SP3 (ссылки есть у Касперского).
     
  15. Sergik'85 Good_Win

    Регистрация:
    30 ноя 2007
    Сообщения:
    40
    Симпатии:
    10
    Ок попробуем.
    А никто не знает, что это за ошибка?:
    [​IMG]
     
  16. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Подскажи ещё ему поотключать службы :
    службу RemoteRegistry (Удаленный реестр)
    службу TermService (Службы терминалов)
    службу SSDPSRV (Служба обнаружения SSDP)
    службу Schedule (Планировщик заданий)
    службу mnmsrvc (NetMeeting Remote Desktop Sharing)
    службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

    отключить
    автозапуск программ с CD
    автозапуск с HDD
    автозапуск с сетевых дисков
    автозапуск со сменных носителей

    отключить административный доступ к локальным дискам
    блокировать возможность подключения анонимных пользователей
    IE - запретить автоматические запросы элементов управления ActiveX
    :cry:
     
  17. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Это зависит от того, каким образом выскакивает ошибка. Может быть как от ошибки какого-то приложения, так и действия вирусов :)
     
  18. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Да там сильно вредного особо ничего нет. В обязательном порядке я бы у себя отключил Планировщик заданий и автозапуски.
    В AVZ: Файл --> Мастер поиска и устранения проблем --> Пуск. Галочками отметить, что не нужно.
     
  19. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Ага , особенно без SP3 . И наверняка без пароля . Ещё видно Акробат7 , IE 7 . Открытые порты TCP 135 , 445 , UDP
    445 я бы тоже прикрыл , в сочетании с SP2 Кидо весьма вероятен .
     
  20. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    SP3 уже поставлен. 135й порт даже при SP1 уже не был актуален, хоть я и сам в локалке с ним баловался :) Акробат обновить, конечно, желательно, но я ни разу не сталкивался с вредными pdf-ками. В последнем логе появился файл c:\windows\system32\x, который "косвенно" указывает на Kido. В первых логах его не было, но судя по тому, что стоял SP2 и базы АВЗ годичной давности, наличие его следов весьма вероятно. Видимо, НОД прибил все-таки. Про СМС-баннер я ответа так и не дождался, но sdra64 спокойно жил в системе. По-видимому, ранее он был отключен подбором кода. Вот этот вопрос мне интересен, как ведут себя "отключенные" винлокеры. Я думаю, это как раз он лез в сеть, спросить у хозяина, не пора ли снова просыпаться.
     

Пользователи просматривающие тему (Пользователей: 0, Гостей: 0)