Посмотрите, что за инфекция гуляет
Посмотрите, что за инфекция гуляет
Последний раз редактировалось mangoose; 01.10.2009 в 10:50.
и еще один файл
Последний раз редактировалось mangoose; 01.10.2009 в 10:50.
-пока выполнить в AVZ...после перезагрузки пришлите, согласно правил, карантинКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrFile('AGRSMMSG.exe'); BC_QrFile('D:\WINDOWS\system32\Drivers\Yfk17.sys'); BC_QrFile('D:\WINDOWS\system32\Drivers\Nh.sys'); BC_QrFile('D:\WINDOWS\system32\drivers\tdicf.sys'); BC_QrFile('D:\WINDOWS\System32\drivers\tcpsr.sys'); BC_QrFile('D:\WINDOWS\system32\Drivers\Shipka.sys'); BC_QrFile('D:\WINDOWS\system32\syskernel.exe'); BC_QrFile('D:\WINDOWS\system32\amupdsvc.exe'); BC_DeleteFile('D:\WINDOWS\system32\syskernel.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Alex Plutoff; 22.06.2008 в 18:15. Причина: добавил
С уважением,
Alex Plutoff
А. ПЛАТОВ
Проблема не решилась, трафик по прежнему просто огромный
Повтори логи. Нужна новая И-ция.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Новые логи
Последний раз редактировалось mangoose; 01.10.2009 в 10:50.
Скачать IceSword. В нем скопировать куда-нибудь
D:\WINDOWS\system32\Drivers\Yfk17.sys
D:\WINDOWS\System32\drivers\tcpsr.sys
Потом на каждом нажать force delete
Далее скрипт
Загрузить еще разок карантин. Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\DOCUME~1\admin\LOCALS~1\Temp\datB.tmp',''); QuarantineFile('D:\WINDOWS\System32\drivers\tcpsr.sys',''); DeleteService('tcpsr'); SetServiceStart('tcpsr', 4); QuarantineFile('D:\WINDOWS\system32\Drivers\Yfk17.sys',''); QuarantineFile('D:\WINDOWS\system32\Drivers\Nh.sys',''); QuarantineFile('d:\windows\system32\syskernel.exe',''); DeleteFile('d:\windows\system32\syskernel.exe'); DeleteFile('D:\WINDOWS\system32\Drivers\Yfk17.sys'); DeleteFile('D:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('D:\DOCUME~1\admin\LOCALS~1\Temp\datB.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
D:\WINDOWS\System32\drivers\tcpsr.sys - этого файла я не обнаружил
Новые логи
Последний раз редактировалось mangoose; 01.10.2009 в 10:51.
пофиксите ...
больше ничего плохого не видно ...Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{6FD71496-C26D-48CF-AF0F-582929E45520}: NameServer = 85.255.114.30,85.255.112.152 O17 - HKLM\System\CCS\Services\Tcpip\..\{75270E16-60F4-4AB3-A0D4-5FC8CF40BD2D}: NameServer = 85.255.114.30 85.255.112.152 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.30 85.255.112.152 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.30 85.255.112.152 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.30 85.255.112.152 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.30 85.255.112.152
Карантина мы не увидели
IE Contacts Spy - не очень хорошая вещь. Не по нашему профилю, но я бы ее посоветовал деинсталллировать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
O17 - HKLM\System\CCS\Services\Tcpip\..\{75270E16-60F4-4AB3-A0D4-5FC8CF40BD2D}: NameServer = 85.255.114.30 85.255.112.152
вот эта строчка после перезагрузки появляется заново
Добавлено через 2 минуты
карантин отправил
Последний раз редактировалось mangoose; 23.06.2008 в 15:41. Причина: Добавлено
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin QuarantineFile('D:\Program Files\Amicon\Client FPSU-IP\IP-Client.exe',''); QuarantineFile('D:\WINDOWS\system32\amupdsvc.exe',''); QuarantineFile('D:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe',''); QuarantineFile('D:\Program Files\Hypersight\hypersight.exe',''); end.
Амикона лучше не трогать, капризная это штучка. Используется в основном в ФПСУ СБ РФ.
Карантин посмотрю.
Добавлено через 3 минуты
'd:\windows\system32\syskernel.exe' - Trojan.Click.19258 по Доктору Вебу (удален).
Касперский его не знает.
З.Ы. Уже за 50 сообщений набираешь, а как отправлять карантин так и не научился. Надо внимательнее читать Правила.
Последний раз редактировалось PavelA; 23.06.2008 в 15:54. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) mangoose, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.