Проверил свежим CureIT потом Касперским, ничего не нашли... Однако, не могу зайти на антивирусные сайты, в частности Drweb.com и kaspersky.ru Кто-то контролирует трафик. Помогите пожалуйста найти и прибить гадину! Спасибо!
Проверил свежим CureIT потом Касперским, ничего не нашли... Однако, не могу зайти на антивирусные сайты, в частности Drweb.com и kaspersky.ru Кто-то контролирует трафик. Помогите пожалуйста найти и прибить гадину! Спасибо!
Добавил.
Помогите пожалуйста!
Выполнить:
Загрузить карантин по Правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Карантин выслал. (инфо) Tcpip.sys менял утилитой 29.10.2008 проверенной с 10 сессий на 100 открывал (Half-open называется). Ей многие пользовались до меня, не думаю, что она причина. Причем, проверял дистрибутив не раз антивирусами. Заражение\перезагрузка произошла много позже при работе с Интернетом. Симптомы все теже как у brastk. Вот только доступ остался заблокирован на сайты, значит не все еще придавлены модификации, видимо.
Выполнить, т.к. файла нет:
Добавлено через 2 минутыКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
прокси ваш: 148.233.159.58:8080?
Это Ваши настройки: 195.34.32.116 212.188.4.10
Последний раз редактировалось PavelA; 30.10.2008 в 12:34. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Нет. Это не мои настройки!
Скрипт выполнил. Все по-прежнему. Ни в ИЕ6 ни в Опере не открываются антивирусные сайты. При этом комп вполне адекватно работает.
Повторяю логи.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.58:8080 O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0A88A9-2C00-445A-AE3A-2B6A0B8177BF}: NameServer = 195.34.32.116 212.188.4.10
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ltxxltjv'); DeleteFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ltxxltjv'); BC_Activate; RebootWindows(true); end.
Перепроверил все настройки - прокси в явном виде не используется.
Последний раз редактировалось q75; 30.10.2008 в 13:41.
Все сделал. Ситуация следующая. После открытия Оперы и ИЕ6 вновь появляются пофиксенные строчки. 3 дня назад я уже заразился brastk и у меня были теже проблемы с доступом на сайты. Потом свежий Cureit нашел некую разновидность Trojan.Proxy убил ее и все заработало... В этот раз все сложнее, к сожалению. И самый свежий Cureit не могу скачать и обновиться не могу...
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Сделайте новые логи...Код:begin SetAVZPMStatus(true ); RebootWindows(true); end.
Сделано.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ltxxltjv'); QuarantineFile('\systemroot\system32\drivers\TDSSmqxt.sys',''); DeleteFile('\systemroot\system32\drivers\TDSSmqxt.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ltxxltjv'); BC_Activate; RebootWindows(true); end.
Ок. 5 минут. Пока поясню с чего все началось, лог из касперского.
-----------------------------------
удалено: троянская программа Backdoor.Win32.Small.gjm Файл: c:\windows\karna.dat
удалено: троянская программа Backdoor.Win32.UltimateDefender.a Файл: C:\WINDOWS\system32\dllcache\beep.sys
удалено: троянская программа Backdoor.Win32.TDSS.atb Файл: C:\WINDOWS\system32\TDSSliqp.dll
удалено: троянская программа Backdoor.Win32.TDSS.asz Файл: C:\WINDOWS\system32\TDSSnrse.dll
-----------------------------------
Огромное спасибо!
Все заработало.
Как я понимаю виновником торжества был TDSSmqxt.sys ?
Его никто и не определил...
Почему-то файл в карантине с нулевым объемом... И он только один. Не выслал!
Логи выкладываю.
В логах чисто, сделайте полную проверку CureIT...
Уважаемый(ая) q75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.