Проверил свежим CureIT потом Касперским, ничего не нашли... Однако, не могу зайти на антивирусные сайты, в частности Drweb.com и kaspersky.ru Кто-то контролирует трафик. Помогите пожалуйста найти и прибить гадину! Спасибо!
Printable View
Проверил свежим CureIT потом Касперским, ничего не нашли... Однако, не могу зайти на антивирусные сайты, в частности Drweb.com и kaspersky.ru Кто-то контролирует трафик. Помогите пожалуйста найти и прибить гадину! Спасибо!
Добавил.
Помогите пожалуйста!
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин по Правилам.
Карантин выслал. (инфо) Tcpip.sys менял утилитой 29.10.2008 проверенной с 10 сессий на 100 открывал (Half-open называется). Ей многие пользовались до меня, не думаю, что она причина. Причем, проверял дистрибутив не раз антивирусами. Заражение\перезагрузка произошла много позже при работе с Интернетом. Симптомы все теже как у brastk. Вот только доступ остался заблокирован на сайты, значит не все еще придавлены модификации, видимо.
Выполнить, т.к. файла нет:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
прокси ваш: 148.233.159.58:8080?
Это Ваши настройки: 195.34.32.116 212.188.4.10
Нет. Это не мои настройки!
Скрипт выполнил. Все по-прежнему. Ни в ИЕ6 ни в Опере не открываются антивирусные сайты. При этом комп вполне адекватно работает.
Повторяю логи.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.233.159.58:8080
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0A88A9-2C00-445A-AE3A-2B6A0B8177BF}: NameServer = 195.34.32.116 212.188.4.10[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ltxxltjv');
DeleteFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ltxxltjv');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
Перепроверил все настройки - прокси в явном виде не используется.
Все сделал. Ситуация следующая. После открытия Оперы и ИЕ6 вновь появляются пофиксенные строчки. 3 дня назад я уже заразился brastk и у меня были теже проблемы с доступом на сайты. Потом свежий Cureit нашел некую разновидность Trojan.Proxy убил ее и все заработало... В этот раз все сложнее, к сожалению. И самый свежий Cureit не могу скачать и обновиться не могу...
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
SetAVZPMStatus(true );
RebootWindows(true);
end.[/CODE]
Сделайте новые логи...
Сделано.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ltxxltjv');
QuarantineFile('\systemroot\system32\drivers\TDSSmqxt.sys','');
DeleteFile('\systemroot\system32\drivers\TDSSmqxt.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ltxxltjv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ltxxltjv');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Ок. 5 минут. Пока поясню с чего все началось, лог из касперского.
-----------------------------------
удалено: троянская программа Backdoor.Win32.Small.gjm Файл: c:\windows\karna.dat
удалено: троянская программа Backdoor.Win32.UltimateDefender.a Файл: C:\WINDOWS\system32\dllcache\beep.sys
удалено: троянская программа Backdoor.Win32.TDSS.atb Файл: C:\WINDOWS\system32\TDSSliqp.dll
удалено: троянская программа Backdoor.Win32.TDSS.asz Файл: C:\WINDOWS\system32\TDSSnrse.dll
-----------------------------------
Огромное спасибо!
Все заработало.
Как я понимаю виновником торжества был TDSSmqxt.sys ?
Его никто и не определил...
Почему-то файл в карантине с нулевым объемом... И он только один. Не выслал!
Логи выкладываю.
В логах чисто, сделайте полную проверку CureIT...