-
Junior Member
- Вес репутации
- 51
Последствия вируса
Увели логины\пароли 100% ....менял их с ноутбука и теперь пытаюсь очистить винду...авз каждый раз показывал разные вирусы\ошибки\ещё чего красным...знакомый говорил про DAEMON Tools :/ но я его не ставил(стояла свежая винда на формативаном диске).
+весит в автозагрузке бат файл:
cmdow @ /HID
RD /S /Q "%UserProfile%\€§Ўа **®Ґ\‚ҐЎ-г§«л Њ ©Єа®б®дв"
DEL /F /Q "%UserProfile%\€§Ўа **®Ґ\‘бл«ЄЁ\Ќ бва®©Є ббл«®Є.url"
DEL /F /Q "%UserProfile%\ѓ« ў*®Ґ ¬Ґ*о\Џа®Ја ¬¬л\Internet Explorer.lnk"
RD /S /Q "%AllUsersProfile%\€§Ўа **®Ґ\‚ҐЎ-г§«л Њ ©Єа®б®дв"
DEL /F /Q "%AllUsersProfile%\€§Ўа **®Ґ\‘бл«ЄЁ\Ќ бва®©Є ббл«®Є.url"
DEL /F /Q "%AllUsersProfile%\ѓ« ў*®Ґ ¬Ґ*о\Џа®Ја ¬¬л\Internet Explorer.lnk"
Del /F /Q %0
EXIT
+ авз выдавал
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\mstask.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\mstask.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26B8 (284)
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
CmpCallCallBacks = 0013AA8E
Disable callback OK
Проверка IDT и SYSENTER завершена
Функция NtOpenSection (7D) перехвачена (805711B4->B764B62A), перехватчик C:\WINDOWS\system32\drivers\dwprot.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (FF) перехвачена (8064A01B->B764B55, перехватчик C:\WINDOWS\system32\drivers\dwprot.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
но появлялось это один раз...так жаловался на msconfig.EXE если не ошибаюсь
Последний раз редактировалось FlyAway; 09.12.2010 в 09:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ничего плохого не нашел
Перехватчики нормальные. Windows у Вас, похоже, сборка.
-
-
Junior Member
- Вес репутации
- 51
Да сборка game edition...но ничего такого раньше не было и авз не ругался...а про троян это точно! потому что сменили информацию на аккаунтах и пароли на многих сайтах...+помойму 2-3 гб трафика за 30 минут игры+скайпа перебор(ничего не качал в тот момент)...должно было в районе 100-200 мб
-
Junior Member
- Вес репутации
- 51
Появились какие то не понятные слыжбы...причем CryptSvc сама включается...потеря пакетов растет...трафик стал улетать ещё быстрее
Последний раз редактировалось FlyAway; 09.12.2010 в 09:21.
-
Junior Member
- Вес репутации
- 51
Uploaded with ImageShack.us
вот ещё лог ComboFix...и вот такая ошибка появилась во время сканирования...завершился процесс ехплорера и он перезапустился.
Службы может и нормальные...Но откуда они взялись? ещё вчера их не было...то что вирус\троян был это 100% и я не уверен, что он сам собой пропал...
Последний раз редактировалось FlyAway; 09.12.2010 в 09:21.
-
Junior Member
- Вес репутации
- 51
-
c:\windows\system32\srsvc.dll . . . is infected!!
c:\windows\system32\proquota.exe . . . is missing!!
c:\windows\System32\srsvc.dll ... is missing !!
c:\windows\System32\wscntfy.exe ... is missing !!
c:\windows\System32\regsvc.dll ... is missing !!
эти файлы нужно заменить или восстановить из дистрибутива - http://virusinfo.info/showthread.php?t=51654
Добавлено через 1 час 39 минут
Обновите продукты Adobe и Java. Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер. Антивирус имеется у Вас?
Последний раз редактировалось DefesT; 29.06.2010 в 14:12.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Поставил пропущенные файлы. Обновил Адобэ с помощью скрипта, сейчас поставлю ie8
но комп все равно тупит с выключением(от 5 до 10 минут(на глаз)) и запускается от 1 до 2 минут(после вода пароля в выборе пользователя)
и откуда эти службы то вылезли? их не было 100% даже если они нормальные они наверное грузят систему? можно ли их отключить? Нет, без антивирусы\файерволла...компьютер слабый и во время игры онлайн+скайп падает фпс до 10(World of warcraft\starcraft2\hon\lol)
Последний раз редактировалось FlyAway; 09.12.2010 в 09:21.
-
Junior Member
- Вес репутации
- 51
Сейчас обновил java, ie8 и он скачал ещё обновления для windows xp....как смогу сделаю на всякий случай лог ещё раз....
Но с выключением(6-7 минут) и включением(1-2 мин) остались проблемы...
Оплатил трафик(2 гб), подключился, 15 минут -2гб трафика Такое чуство, что это только с локальным интернетом(билайн), мгтс работает нормально...
У меня отключены часть служб при работе через мгтс(с ними делал логи), а с локалка там нужен Днс и Дhcp-клиент службы...
+Все таки что можно сделать с этими новыми службами? откуда они только взялись
-
В файерфоксе сами расширения ставили?
-