Поймал какую-то гадость
Антивирус фаервол ругнулся на какойто процес который шлет UDP запросы. Заблокировал. Но всеравно он шлет по другим адресам. Кое то убил из автозапуска. Но все равно остаются левые процессы.
Да и эта гадость спряталась в корзине и запускалась от имени CTFMON.exe.
Если надо могу выслать бакупсы от hijackthis
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('Probe', 4); SetServiceStart('mhk', 4); QuarantineFile('C:\WINDOWS\system32\autorun.exe',''); QuarantineFile('C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\probe.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\mhk.sys',''); QuarantineFile('C:\WINDOWS\system32\nl_msg.dll',''); DeleteFile('C:\WINDOWS\system32\Drivers\mhk.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\probe.sys'); DeleteFile('C:\WINDOWS\system32\autorun.exe'); DeleteService('Probe'); DeleteService('mhk'); BC_ImportALL; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
логи повторите
Microsoft Most Valuable Professional in Consumer Security
После выполнения скрипта умерла клавиатура. В досе работает. Драйвер для этого устройства был отключен. Возможно, необходимые функции исполняет другой драйвер. (Код 32)
Нажмите кнопку "Диагностика", чтобы запустить мастер диагностики для данного устройства.
После выполнения скрипта умерла клавиатура.
В диспетчере устройств стоит восклицательный знак.Нажимаешь свойства выдаёт такую надпись
"Драйвер для этого устройства был отключен. Возможно, необходимые функции исполняет другой драйвер. (Код 32)
Нажмите кнопку "Диагностика", чтобы запустить мастер диагностики для данного устройства."
Пытался переставить драйвер, то-же самое.
Это произошло после перезагрузки компьютера. С загрузочного диска загружаешься клавиатура работает. Как все починить???
Вы не пробывали без клавы сделать логи и их отправить. Что мне Сделать. Ни ответа не привета.
н-да увлекся
AVZ - файл - просмотр карантина - выбрать дату выполнения скрипта:
Поставить галку напротив C:\WINDOWS\system32\Drivers\mhk.sys
Нажать кнопку востановить.
Перезагрузиться.
Добавлено через 19 минут
Если не выйдет, прийдется накатить драйвера клавиатуры с диска
Последний раз редактировалось akoK; 10.12.2008 в 13:32. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Можно просто удалить клавиатуру в Диспетчере устройств и перезагрузиться, тогда система сама установит стандартный драйвер клавиатуры.
I am not young enough to know everything...
Это драйвер от системы криптографии. Я его уже восстановил.Сообщение от akoK
н-да увлекся
AVZ - файл - просмотр карантина - выбрать дату выполнения скрипта:
Поставить галку напротив C:\WINDOWS\system32\Drivers\mhk.sys
Нажать кнопку востановить.
Перезагрузиться.
Добавлено через 19 минут
Если не выйдет, прийдется накатить драйвера клавиатуры с диска
Добавлено через 1 минуту
Непомогало. Даже установка нового драйвера.
Добавлено через 6 минут
Все починил. Принес с работы ноут и сравнил все строки реестра где встречалась клавиатура. Короче там порт был поменян. Поменял как на ноуте и все заработало.Видать какой-то перехватчик в вирусе был.
Последний раз редактировалось RKP; 11.12.2008 в 11:36. Причина: Добавлено
После воостановления клавиатуры присылаю новые логи.
Система постоянно лезет на unknown.hostforweb.com/
Пожалуйста посмотрите новые логи
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\jpicpl32.cpl',''); QuarantineFile('C:\Program Files\NetLimiter\nl_lsp.dll',''); QuarantineFile('C:\WINDOWS\UnInst32.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\klif.sys',''); QuarantineFile('C:\WINDOWS\system32\nl_msg.dll',''); QuarantineFile('c:\windows\system32\hotfixq0306270.exe',''); DeleteFile('C:\WINDOWS\services.exe'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DE625294-70E6-45ED-B895-CFFA13AEB044}'); BC_ImportALL; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Включите AVZPM и повторите логи.
Microsoft Most Valuable Professional in Consumer Security
Уважаемый(ая) RKP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
