Показано с 1 по 20 из 20.

Соединения с разными сайтами (заявка № 64693)

  1. #1
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27

    Exclamation Соединения с разными сайтами

    Добрый вечер. Комп словил вирус. Проверял утилитами Касперского и Др. Веба, они нашли вирусы, но видно что-то пропустили. Как только комп подключаю к интернету, сразу появляются попытки соединения с различными адресами (смотрел netstat -a). Прилагаю логи.
    Последний раз редактировалось Z80; 05.01.2010 в 23:36.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Базы AVZ обновить, логи переделать.

  4. #3
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    Готово.
    Последний раз редактировалось Z80; 05.01.2010 в 23:36.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     QuarantineFile('C:\WINDOWS\system32\vlmis.dll','');
     DeleteFile('C:\WINDOWS\system32\vlmis.dll');
     AddToLog('Удаление скрытого сервиса '+'vlmis'+' - Результат:'+inttostr(BC_ServiceKill('vlmis')) );
     RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', '%System32%'+'/userinit.exe,');
     BC_ImportAll;
    ExecuteSysClean;
     ExecuteRepair(16); {восстановление ключа запуска explorer}
     SaveLog(GetAVZDirectory+'avz_log.txt');
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрволл
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.

  6. #5
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    Ошибка в позиции 54:126 при выполнении скрипта

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Прошу прощения - в скрипт вкралась ошибка. Я её исправил. Попробуйте ещё раз (текст скрипта постом выше).

  8. #7
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    Выполнил скрипт, комп теперь LogIn LogOff автоматом делает, на дает загрузить систему

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Загрузиться в безопасном режиме получается?

  10. #9
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    Нет, тот же эффект

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Вы между Log in - Log off можете нажать Ctrl-Alt-Del и вызвать Диспетчер задач?

  12. #11
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    ок, до завтра

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Есть идеи - подождите, я исправил предыдущее сообщение.

    Добавлено через 16 минут

    Если всё же не удастся вызвать Диспетчер задач - придётся раздобыть LiveCD и загрузиться с него.
    В загруженной системе выполните следующее.

    1. Запустите regedit и выделите раздел HKEY_USERS.
    2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
    3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    4. Введите имя для раздела, который вы загрузили, например, MyHive.
    Теперь, зайдите в ветку HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\, найдите параметр Userinit и исправьте его на
    Код:
    c:\windows\system32\userinit.exe,
    ОБРАТИТЕ ВНИМАНИЕ: запятая в конце - обязательна.
    Закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст).

    Попробуйте заново загрузить систему и сделать действия, которые я просил выше.

    Прошу Вашего прощения - все эти сложности возникли по моей вине.
    Последний раз редактировалось gjf; 23.12.2009 в 01:12. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    LiveCD помог. Сделал новые логи.
    Последний раз редактировалось Z80; 05.01.2010 в 23:36.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Загрузитесь с LiveCD и скопируйте C:\WINDOWS\system32\Drivers\vlmis.sys в другую папку. Запакуйте скопированный файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    После чего в исходном месте файл удалите и сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    готово

    Добавлено через 21 минуту

    логи сейчас сделаю... сорри
    Последний раз редактировалось Z80; 23.12.2009 в 15:05. Причина: Добавлено

  17. #16
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    новые логи
    Последний раз редактировалось Z80; 05.01.2010 в 23:36.

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Что сейчас с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    30.09.2009
    Сообщений
    62
    Вес репутации
    27
    пока что тихо спасибо, думаю что проблема решена. а что за вирус был не знаете?

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Есть подозрение на Win32/Rootkit.Kryptik.AF. Новый вирус - ждём ответа аналитиков.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,538
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. \vlmis.sys - Rootkit.Win32.Agent.aagq


  • Уважаемый(ая) Z80, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 04.07.2012, 17:08
    2. Профилактика разными антивирями
      От Gasan777 в разделе Антивирусы
      Ответов: 1
      Последнее сообщение: 04.03.2010, 13:55
    3. Ответов: 4
      Последнее сообщение: 07.10.2009, 17:43
    4. digeste.dll и network service с разными номерами!
      От Александр Ефремов в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 19.03.2009, 13:53
    5. GameSetup.exe с разными вирусами
      От vaskos в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.02.2008, 15:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00652 seconds with 21 queries