-
Junior Member
- Вес репутации
- 58
trojan.starter. падает впн через пару минут после подключения.
после подключения к инету комп где-то схватил вирус. комп не мой. из подробностей: "вылезло окно с вопросм "не хотите чтобы к вашему компу подкллючались - нажмите сюда". была нажат крестик". со слов пострадавшего.
симптомы:
всё работает хорошо. комп подключен к локалке.
после подключения инета (VPN) примерно через пару минут интернет перестаёт работать, состояние подключения посмотреть нельзя, отключить тоже. в процессах начинают появляться процессы ntvdm.exe
в папке system32 или windows появляются фалйы с именем 35.exe (цифры произвольные). sdar64.exe, и *dat.dat, точно не помню что было под звёздочкой. ещё в процессах висел livemessn.exe который сureit опознался как вирус.
в безопасном режиме сканился свежим кьюритом, удалял разное(в основном trojan.starter.1512 (или 1215)), но после перезагрузки всё возвращалось к первоначальной ситуации.
в качестве антивируса стоял нод32 с декбрьскими базами, т.к. интеренет был подключен только 3 дня назад. примерно тогда и был словлен антивирус. нод просто не успел обновиться.
взял комп на дом, пролечил кьюретом и касперским с лайвсиди. но проблема в том что синтезировать ВПН не могу.
поэтому прошу посмотреть логи и сказать, есть ли там ещё что-нибудь.
завтра комп отдам и проверю уже на месте в той локалке.
логи по правилам прилагаю.
надеюсь на вашу помощь.
Последний раз редактировалось Stepan13; 16.01.2010 в 01:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteService('ICF');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=67426
4. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
восстановление системы серое, не могу отключить. через gpedit.msc отключил, но серое осталось, ничего не изменилось.
при загрузке карантина получил сообщение "Ошибка загрузки. Данный файл уже был загружен"
новые логи.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог hijackthis.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
-
Ничего зловредного в логах не увидела. Что с проблемами?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Aleksandra
Ничего зловредного в логах не увидела. Что с проблемами?
в данный момент проблем никаких не наблюдается.
завтра проверю комп в его родной сетке.
как я уже писал активность дряни возникала послее подключения к инету по впн.
спасибо большое.
Добавлено через 9 часов 24 минуты
на месте проблем не обнаружено. всё работает.
ещё раз спасибо.
Последний раз редактировалось Stepan13; 16.01.2010 в 12:09.
Причина: Добавлено