Показано с 1 по 15 из 15.

Лезут без конца (заявка № 12522)

  1. #1
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    34

    Thumbs up Лезут без конца

    День добрый. Такая проблема: постоянно лезет при включении IE один и тот же адрес: http://85.255.119.93./dev......... У меня стоит AVAST! Связь блокирует но что то тут не так....
    Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
     QuarantineFile('C:\WINDOWS\system32\admparseh.exe','');
     QuarantineFile('C:\Install\rules.doc','');
     QuarantineFile('C:\WINDOWS\system32\X8shA381.exe','');
     QuarantineFile('C:\WINDOWS\system32\AClient.dll','');
     QuarantineFile('C:\Windows\xpupdate.exe','');
     QuarantineFile('C:\WINDOWS\system32\spools.exe','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
    BC_ImportQuarantineList;
    BC_DeleteSvc('FCI');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    34
    Пока что все по старому......
    Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Логи делать не нужно было, т.к. пока ничего не менялось, скрипт только собирает анализы.
    Карантина вашего не вижу.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    34
    Прошу прощения- не сообразил. Отослал карантин

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    admparseh.exe - Packed.Win32.PolyCrypt.d
    AClient.dll - Packed.Win32.Morphine.a (модификация)

    1. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\admparseh.exe');
     DeleteFile('C:\WINDOWS\system32\AClient.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('UPSRasMan');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Пофиксите в HijackThis:
    Код:
    O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll
    O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\system32\spools.exe
    O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
    O20 - Winlogon Notify: atietaxx - C:\WINDOWS\
    O20 - Winlogon Notify: atietaxx- - atietaxx.dll (file missing)
    3. Удалите все задания в Планировщике.

    Продолжение следует...

    Добавлено через 4 минуты

    Выполните следующий скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ansif.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\crypt32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\cryptnet.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\cscdll.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\wlnotify.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\sclgntfy.dll','');
     QuarantineFile('C:\WINDOWS\system32\mmsvc32.exe','');
     QuarantineFile('C:\WINDOWS\system32\adptifl.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    Последний раз редактировалось Bratez; 17.09.2007 в 15:16. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    34
    Все проделал.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    C:\WINDOWS\SYSTEM32\crypt32.dll
    C:\WINDOWS\SYSTEM32\cryptnet.dll
    C:\WINDOWS\SYSTEM32\cscdll.dll
    C:\WINDOWS\SYSTEM32\wlnotify.dll
    C:\WINDOWS\SYSTEM32\sclgntfy.dll
    Этих файлов в карантине не оказалось, хотя указано, что они добавлены.
    Поищите их вручную через AVZ: Сервис - Поиск файлов на диске
    и пришлите согласно приложению 2 правил.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    34
    Ушел

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ладно, оставим их, очевидно это настоящие файлы windows, непонятно только, почему они отображены в логе HijackThis...
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\ansif.exe');
     DeleteFile('C:\WINDOWS\system32\adptifl.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('W32TimeTlntSvr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe
    и сделайте новые логи.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    34
    Последний
    Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Больше ничего подозрительного не видно.
    Как чувствует себя пациент?

    И еще посмотрите это:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Что нужно - скажите, остальное поправим.

    Добавлено через 5 минут

    Да, чуть не забыл: задания в Планировщике вы так и не удалили.
    Это можно сделать через Панель управления - Назначенные задания, либо через AVZ: Сервис - Менеджер планировщика заданий.
    Последний раз редактировалось Bratez; 17.09.2007 в 17:00. Причина: Добавлено
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    34
    Благодарю - пациент чувствует себя неплохо.
    Насчет служб.....пожалуй (Task Scheduler) и CDROM
    Остальное не имеет для меня значения

    Планировщик стер - спасибо за напоминание

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вот скрипт для поправки:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    P.S. Если компьютер в локальной сети с использованием общего доступа к файлам, то анонимного пользователя запрещать не надо. В этом случае уберите первую строчку скрипта после begin.
    I am not young enough to know everything...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Советую работать за компьютером под пользователем с ограниченными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  • Уважаемый(ая) alsoclean, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. вирусs лезут через svchost
      От pavel-kvd в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.01.2010, 15:27
    2. Вирусы лезут на комп
      От Михаил Дудкин в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 06:40
    3. Лезут вирусы...
      От Tata80 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 06:07
    4. Шпионы лезут?
      От Messar в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:45
    5. Вири лезут и лезут!
      От Rick1 в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 06.02.2008, 15:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00037 seconds with 20 queries