-
Junior Member
- Вес репутации
- 59
Тормозит интернет, некоторые сайты постоянно обновляются.
Сабж. Как сайты сами обновляются? Ну, заходишь на любую страничку, а она обновляется каждую секундку, как-будто ф5 залипла. Так например с "вконтакте"
Пытался вывести своими трудами, не получилось. Забыл выгрузить dr web autorun он заблокировал.
Спасибо.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7148283234-1107981760-476337672-6063\syscr.exe,explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7148283234-1107981760-476337672-6063\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7148283234-1107981760-476337672-6063\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7148283234-1107981760-476337672-6063\syscr.exe,explorer.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Эта штука, Combofix, убрала из автозагрузки ничем неповинную языковую панель и собственноручно установленный кейлоггер
Карантин прислал. Логи загрузил.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Языковая панель вернется, а кейлоггер или восстановите из карантина, или установите заново
Между тем было много удалено мусора
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
xkgvuusd
NetSvc::
xkgvuusd
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ndll.exe','');
DeleteFile('C:\WINDOWS\ndll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин (если не окажется пустым) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Последний раз редактировалось thyrex; 02.04.2010 в 09:46.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Выполнил я это на комбо-фиксе. ctfmon не оказался в автозапуске. добавил через реестр. Запустился. После перезапуска его там уже не было. Запустил в ручную. Панелька в трее не появилась. Включить ее через контекстное меню таскбара не получается-галочка просто не ставится. Язык тоже было не переключить. Сделал откат системы. Чуть позже сброшу логи.
Спасибо.
-
Сообщение от
thyrex
Языковая панель вернется
Сообщение от
nismoxid
Выполнил я это на комбо-фиксе. ctfmon не оказался в автозапуске
После удаления ComboFix все вернулось бы на место
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Вот логи. Гхм. Я ресторил систему с точки, созданной после удаления вирусов. А вот они снова как-то оказались, те же самые.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Сообщение от
nismoxid
Я ресторил систему с точки, созданной после удаления вирусов. А вот они снова как-то оказались, те же самые.
Потому что не вылечились до конца, и вирусы оказались в резервном хранилище системы
Отключите восстановление системы
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3007908488-1420782481-073988480-2842\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3007908488-1420782481-073988480-2842\syscr.exe');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
DeleteFile('C:\WINDOWS\system32\12.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Кстати, во время загрузки винды, прямо на фоне "Приветствие", стало вылезать квадратное окошко без названия с сожержанием "[]" или что-то подобное. С кнопкой "ОК". Когда нажимаешь на эту кнопку, окошко закрывается, загрузка продолжается дальше.
Логи сделаны. Карантин загружен
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(7);
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Эти же самые вирусы вернулись. Все в связке. Систему не ресторил.
Попробовал найти по описаниям - все это распространяется через email. но эл. почтой я пользуюсь "нормально" - оттуда не мог схватить. Вот логи.
ЗЫ: Сайтами в последние дни пользуюсь только "проверенными"
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Chapter Four\Games\The Path\channels\InterfaceMatrix.dll','');
QuarantineFile('C:\Chapter Four\Games\The Path\channels\InstanceRefFromContainer.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-8229975900-2174384039-342211847-3019\syscr.exe');
DeleteFile('C:\WINDOWS\ndll.exe');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Загрузил карантин.
Выкладываю логи. Как нужно вернуть ctfmon на место?
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Junior Member
- Вес репутации
- 59
Кстати, контакт как обновлялся так и обновляется. Такое С ЛЮБЫМИ браузерами.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
xkgvuusd
NetSvc::
xkgvuusd
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Загрузил. Повторю вопрос:
Как вернуть ctfmon?
В папке диск:\windows уже второй раз появляются файлы со странным названием: grep.exe, sed.exe, SWREG.exe, SWSC.exe, SWXCACLS.exe, zip.exe.
Контакт еще обновляется. Так же во всех флэш приложениях, которые имеют связь сервер-клиент-сервер происходит ошибка. Как я понимаю, клиент, то есть я, не отдаю никаких данных. Флеш плеер переустанавливал.
ЗЫ: Каждый раз при проверке комбофикс, на "надписи" completed stage 3 вылезает дебаггер. После его "отмены" проверка идет дальше.
ЗЫЫ: Есть 3 файла: MsSip1.dll, MsSip2.dll, MsSip3.dll.
Что это? Где-то говорят удалять это, где-то говорят оставить. Этих файлов при голой установке винды нет. Причем файлов на диске нет. Но в автозапуск их кто-то добавляет.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
По логу больше ничего плохого не видно
Удалите ComboFix
Языковая панель вернулась?
Сообщение от
nismoxid
Есть 3 файла: MsSip1.dll, MsSip2.dll, MsSip3.dll.
Не трогайте эти файлы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
Выполнил все 2 пункта. Нет, не вернулась.
-
Junior Member
- Вес репутации
- 59
Так как ее все-таки вернуть?
-
Эх, и зачем Вы пытались ее самостоятельно восстановить
Скачайте архив во вложении, распакуйте и внесите информацию в реестр, дважды кликнув левой кнопкой мыши по каждому из файлов и подтвердив добавление информации
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-