-
Junior Member
- Вес репутации
- 53
Сам открывается доступ к дискам и постоянные инфицирования.
О системных дырах:
С некоторых пор при загрузке системы все три диска открыты для общего доступа. Не помню когда это началось, вроде бы недели две назад, но с тех пор как я это заметил, это не удаётся изменить.
В свойствах каждого диска, в закладке "Доступ" стоит галка "Открыть общий доступ к этой папке", предельное число пользователей - стоит "максимальное".
Второй день система предлагает ввести пароль при входе - все как обычно, стандартное окно выбора пользователся, имя пользователя (мое настоящее), но раньше загрузка происходила сразу без всяких предложений о паролях.
О вирусе:каждый день антивирус Касперского 2010 вылавливает "вирус P2P-Worm.Win32.Polip.a", находит пару-восемь зараженных файлов, преимущественно лечит их, и мигает зелёным светом, как вроде все нормально.
При проверках с помощью AVZ, находит необнаруженные зараженные фалы, (к которым в свою очередь обратилась AVZ) и, точно также лечит их.
Как правило заражается Експлорер и несколько других ексзешников.
Ну и к тому же Касперский постоянно выкидывает маленькие окошечки, уведомляющие о присвоении разных статусов, разным присутствующим на компьютере программам, к которым возможно за последние сутки никто не обращался.
Что посоветуете?
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\syre32.exe','');
DeleteFile('C:\WINDOWS\system32\syre32.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syre32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','838');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог gmer + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Выполните скрипт в AVZ....
Карантин прикреплял вчера.
Gmer с первой попутки зависал на полной проверке, со второй завис после нажимания Save.
Комбофиксить буду вечером, а Gmer должен так виснуть?
Последний раз редактировалось PavelA; 18.03.2010 в 21:29.
-
Сообщение от
Decol
Gmer должен так виснуть?
Защитный софт отключаете?
Попробуйте сделать лог gmer в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Защитный софт отключаете?
Попробуйте сделать лог gmer в безопасном режиме
В безопасном режиме дело доходит до проверки только системного диска С, затем через минуту-две прямо в процессе проверки на мгновение появляется синий экран и компьютер перезагружается.
Не в безопасном режиме дело даже не доходит до проверки системного диска - программа зависает.
Combofix ругается на отсутствие файла Regedit.exe, а после закрывается.
Кстати, да Gmer, пробовал и не в безопасном режиме с отключением Касперского - эффект тот же.
-
Где новый комплект стандартных логов?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Где новый комплект стандартных логов?
Завтра с утра сделаю.
Спасибо.
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Где новый комплект стандартных логов?
Вот они.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('accp.exe','');
DeleteFile('accp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Лог gmer или ComboFix очень нужен
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('accp.exe','');
DeleteFile('accp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно
Приложения 3 правил по красной ссылке
Прислать запрошенный карантин вверху темы
Лог gmer или ComboFix очень нужен
Сделайте новые логи
Llog Gmer не удаётся сделать по той же причине. В обычном режиме программа зависает на проверке системного диска (по видимому она есть очень много ресурсов потому что пока кона висит нельзя даже переключится на другие приложения), а в безопасном режиме - синий экран и перезагрузка во время проверки того же системного диска. Так вот.
ComboFix пишет следующее:
Terminal Error - Missing file
C:\Windows\regedit.exe is missing
Copy one from enother machine.
Интуитивно догадываюсь что нужно скопировать этот файл с другой машины - если можешь, вышли пожалуйста, а то у меня под рукой до понедельника ничего нет.
Логи загружаю
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Файл во вложении
Интеренет был отключен так что консоль восстановления я не скачал, хоть он и предлагал (после запуска утилиты, подключить соединение по её запросу не удалось, проверка все равно продолжилась, произошла перезагрузка, после неё выскочила ошибка:
C:\Combofix\CF23805.cfxxe
Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту.
Затем после ОК скан вскоре закончился, лог вот.
(Должен признать, хитрая штуковина...)
Кстати, доступ к дискам всё также приходится закрывать после входа в систему, слетела языковая панель, всё так же приходится почему-то вводить несуществующий пароль при входе в систему, но зато восстановился ИнтеренетЕксплорер.
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Файл во вложении
Не фига он не восстановился, просто на рабочем столе появился исчезнувший ранее его значек.
Ты не мог бы переслать его ексешник?
И спасибо за Регедит!
Добавлено через 38 минут
Только что Касперский снова обнаружил в якобы вылеченных Combofix файлах cmd.exe и PINBALL.exe все ту же заразу...
Последний раз редактировалось Decol; 20.03.2010 в 18:57.
Причина: Добавлено
-
c:\windows\system32\msgsvc.dll, c:\windows\system32\tourstart.exe замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
xbwcl
NetSvc::
xbwcl
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2770:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Как ни пыталсяскопировать хотя бы один фал не смог.
Подробно следовал инструкции как установить Консоль восстановления, в итоге запускал с диска дистрибутива.
Почему-то на первую команду "cd F:\i386" консоль не отзывалась. Постоянно в начале строки писалось "C:\Windows\>" ну или не было последнего слеша - не важно. В общем, примерно с четвертой загрузки удалось кое как перейти на диск F, причем проделанное с указанной инструкцией не совпадало:
какя понял команда "cd F:\i386" как раз и должно осуществлять переход на указанный диск - она этого не делала (правильность написания проверял).
Перейти полчилось по команде "cd ..".
Если я правильно понял, то давать команду копирования необходимо находясь на диске F (Windows CD), да ещё и в папке i386, если так то исходя из Инструкции к команде копирования (copy) на сайте Майкрософт и Инструкции по замене системных файлов я и писал следующее:
...
cd ..
C:\>
C:\>F:
F:\i386
после этого было написано следующее:
F:\i386 copy msgsvc.dll c:\windows\system32\msgsvc.dll
Как пишет поддержка "copy источник назначение" - вроде бы так и получилось...
Также пробовал писать и не находясь на диске F, а находясь в папке "C:\Windows\"... В общем пробовал по разному. А второй файл не удалось даже найти на диске (из консоли), но как я понимаю, он не очень-то и нужен для загрузки системы - может его просто удалить, а не менять.
(На диске в папке I386 есть только "Tourststr.ex_")
Жаль если я допустил ошибку, - потратил много времени.
Кстати, текстовый файл в ComboFix ещё не перемещал. Эта операция с заменой файлов как-то связана, или можно делать просто так?
-
Сообщение от
Decol
(На диске в папке I386 есть только "Tourststr.ex_"
expand Tourststr.ex_ c:\windows\system32\tourstart.exe
Сообщение от
Decol
Кстати, текстовый файл в ComboFix ещё не перемещал. Эта операция с заменой файлов как-то связана, или можно делать просто так?
Практически никак. Замена нужна, чтобы в логах не указывалось, что файлы заражены и требуют замены
Выполняйте скрипт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-