Printable View
Добрый день, Господа!
Ситуация стандартная. Выскакивание окон с рекламой, постоянные подозрительные соединения при просмотре через nestat -a
АВЗ - при выполнении п. 8 правил при начале выдает ошибку деления на ноль.
HijackThis отработал.
Посмотрите пожалуйста его лог. А я быду пытаться разобряться с АВЗ.
Пришлите по правилам файлы:
C:\WINDOWS\system32\awtsr.dll
C:\WINDOWS\system32\dofyyfkl.dll
C:\WINDOWS\system32\alobeboe.dll
C:\WINDOWS\system32\tmhhskfm.exe
Если лог п.8 правил никак не получается, сделайте хотя бы п.10.
а так пробовать : [url]http://virusinfo.info/showthread.php?t=12591[/url]
Огромное спасибо всем!
Я думаю, что эти файлы - последствие. В папке system32 - много аналогичных.
Зараза распространяется.
Я забыл написать, что проверял всем, что было под руками-
NOD32,
Symantec,
Kaspersky для фал серверов,
еще парой-тройкой песполезных AdWare.
Я заметил, что при установленом антивирусе, после того как он вычистит,
файлы не появляются.
Цитата:
Файл сохранён как 070923_072441_Вирус_46f65b0952bb0.zip
Размер файла 416055
MD5 9ee468c41ff568feb661d078f4f91df0
Файл закачан, спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Получилось запустить АВЗ. Жду результата. Еще раз спасибо.
[QUOTE=Demas;136965]Получилось запустить АВЗ. Жду результата. Еще раз спасибо.[/QUOTE]
Приложите логи AVZ, будет результат.
Логи АВЗ
Осталтные фалы постить?
Нужно 2 лога по правилам.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\alobeboe.dll');
DeleteFile('C:\WINDOWS\system32\awtsr.dll');
DeleteFile('C:\WINDOWS\system32\tmhhskfm.exe');
DeleteFile('C:\WINDOWS\system32\dofyyfkl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {7E442097-BBE0-4F01-BDE4-86B023342723} - C:\WINDOWS\system32\awtsr.dll
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\dofyyfkl.dll
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\alobeboe.dll",sitypnow
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
[/code]
Перезагрузитесь еще раз и сделайте новые логи.
Пока ничего не помогло.
1. Пофиксите: [QUOTE] C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator\windows\system32\mswsock.dll' missing
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\tmhhskfm.exe (file missing)[/QUOTE]
2. Скачайте [URL="http://www.winsockfix.nl/"]winsockfix[/URL], если пропадет интернет, тогда воспользуетесь.
3. Выполните пункт 2 правил - пролечитесь утилитой от доктора.
4. SP 1 - надо обновлять!!
Пофиксить не дает. Ругается. Хотя О23 исчез. Но с ошибкой и просьбой передать инфу
разработчку.
П2 под нормальным режимом результата не дал. Буду гонять в безопасном. Если сервак загрузится.
В безопасном быстрая проверка результата не дала.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
По п. 4 SP2 стоял до сегодня. Утром система не стартовала. Переставлял поверх. Видимо СП2 слетел в прошлое. Поставить сейчас или можно потом?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
п2. В темповых папках пользователей нашел пару копий Trojan.Virtumod.
Но мне кажется, что это следствие. А где причина понять не могу.
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Не понятно как пофиксить вот это
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe?
Пуск > Выполнить; вписать sc delete DomainService нажать ОК ...
повторите логи ...
[quote=V_Bond;137038]Пуск > Выполнить; вписать sc delete DomainService нажать ОК ...
повторите логи ...[/quote]
Не получается. Выдает, что указанная служба не установлена.
HijackThis показывает, что smss.exe - работает.
[size="1"][color="#666686"][B][I]Добавлено через 59 секунд[/I][/B][/color][/size]
В папке C:\Documents and Settings\Administrator\WINDOWS\System32\
файлов нет.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Как удалить???
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Может через рековери консоль его??? (Вот только не знаю, выдержат ли дискеты еще раз установку драйверов RAID-контроллера).
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\ie4uinit.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\winrnr.dll','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');
DeleteFile('C:\WINDOWS\system32\tmhhskfm.exe');
BC_DeleteSvc('DomainService');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Процесс cmss.exe не исчез. Что делать?
Карантин отправил:
070923_123036_2007-09-23_46f6a2bcd8296.zip
Размер файла 2354235 MD5 4ffec350dd2fa57282a7bb9448c97357
[QUOTE=Demas;137064]Процесс cmss.exe не исчез. Что делать?[/QUOTE]
его пока не трогали.... от вас требовался карантин ... а не логи...
Вот он карантин . В предыдущем посте.
Извините, торможу. Сегодня третья ночь на работе.
есть два вопроса ...
1. вы последний скрипт не выполняли ?
2. вы что работаете в теминальном режиме ?
3. Выполните скрипт:
[code]begin
ClearQuarantine;
end.[/code]
[quote=V_Bond;137072]есть два вопроса ...
1. вы последний скрипт не выполняли ?
2. вы что работаете в теминальнои режиме ?[/quote]
Скрит выполнял. Работаю локально. Под админом. В обычном режиме.
Пользователей на сервере нет.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Выше я писал, что эта зараза размножается. Я ее вчера рубил и Нодом, и Симантеком, и Касперским результата нет. Все появляется снова.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
В \Windows\System32 - вообще страшно смотреть.
давайте так попробуем .... выполните скрипт из поста 18 затем из поста 14 ...
пришлите карантин .... если там будут запрошенные файлы ...