Поможите, чем можете )))

Printable View

10.12.2008, 19:39
baa1

Вложений: 3

Поможите, чем можете )))

[COLOR=black][FONT=Verdana]Доброго времени суток ![/FONT][/COLOR]
[COLOR=black][FONT=Verdana]После окончания срока действия пробного Касперского был поставлен NOD32. И один и второй наличия вирусов не показывали.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Появились проблемы с самопроизвольным подключением к И-нету, Периодически выскакивают окна [/FONT][/COLOR][COLOR=black][FONT=Verdana]IE[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Невозможно подключиться к серверам антивирусных программ : Dr.Web, CureIT , Avast, [/FONT][/COLOR][COLOR=black][FONT=Verdana]AVPTools[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]AVZ[/FONT][/COLOR][COLOR=black][FONT=Verdana]и HiJackThis скачались только с зеркал.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]В настоящее время установлен Dr.Web из приложения к журналу Computer Bild, версия не самая новая, ибо не обновить до последней. [/FONT][/COLOR]

[FONT=Verdana]Поможите, чем можете )))[/FONT]

ЗЫ. Письма с активацией - не было...
10.12.2008, 20:15
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [MaxAntiSpy] C:\Program Files\MaxAntiSpy\MaxAntiSpy.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\actmovieh.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\svchosd.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.popcap.com/games/popcaploader_v6.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)[/CODE]

Обновите базы AVZ!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\actmovieh.exe','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll',' ');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll',' ');
QuarantineFile('c:\windows\wdmon.exe','');
TerminateProcessByName('c:\windows\wdmon.exe');
QuarantineFile('c:\windows\vlc.exe','');
TerminateProcessByName('c:\windows\vlc.exe');
QuarantineFile('c:\windows\svx.exe','');
TerminateProcessByName('c:\windows\svx.exe');
QuarantineFile('c:\windows\svw.exe','');
TerminateProcessByName('c:\windows\svw.exe');
QuarantineFile('c:\windows\svhoster.exe','');
TerminateProcessByName('c:\windows\svhoster.exe');
QuarantineFile('C:\Program Files\Internet Explorer\svchosd.exe ',' ');
QuarantineFile('c:\windows\svc.exe','');
TerminateProcessByName('c:\windows\svc.exe');
DeleteFile('c:\windows\svc.exe');
DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll');
DeleteFile('C:\WINDOWS\system32\wsnpoem\video.dll');
DeleteFile('c:\windows\svhoster.exe');
DeleteFile('c:\windows\svw.exe');
DeleteFile('c:\windows\svx.exe');
DeleteFile('c:\windows\vlc.exe');
DeleteFile('c:\windows\wdmon.exe');
DeleteFile('C:\WINDOWS\svc.exe');
DeleteFile('C:\WINDOWS\svhoster.exe');
DeleteFile('C:\WINDOWS\svw.exe');
DeleteFile('C:\WINDOWS\svx.exe');
DeleteFile('C:\WINDOWS\vlc.exe');
DeleteFile('C:\WINDOWS\wdmon.exe');
DeleteFile('C:\WINDOWS\system32\actmovieh.exe');
DeleteFile('C:\Program Files\Internet Explorer\svchosd.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('msansspc.dll');
DeleteFileMask('%tmp% ','*.* ',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
10.12.2008, 23:12
baa1

Вложений: 3

Спасибо, Григорий !

1) При пофиксении почему-то не оказалось строчки :
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe,
Остальное - пофиксил

Карантин выслал
Логи - прикрепил.
Из изменений :
Пока , тьфу-тьфу, самостоятельно никто в сеть не рвется.
Но к антивирусным сайтам допуска нет по-прежнему.
Запущено аж 6 процессов svchost.exe, это - нормально ?
10.12.2008, 23:18
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\TDSSofxh.dll');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\teste1_p.exe','');
QuarantineFile('\systemroot\system32\drivers\TDSSpaxt.sys','');
DeleteFile('\systemroot\system32\drivers\TDSSpaxt.sys');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\teste1_p.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи ...
11.12.2008, 00:24
baa1

Вложений: 3

И Вам, добрый человек, спасибо !
Продолжу наблюдения завтра.
11.12.2008, 10:16
V_Bond

в логах ничего плохого ...
22.02.2009, 09:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]42[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\андрей\\local settings\\temp\\teste1_p.exe - [B]Trojan-PSW.Win32.LdPinch.acsl[/B] (DrWEB: Trojan.Click.18599)[*] c:\\windows\\svc.exe - [B]Trojan-Clicker.Win32.Osewlone.i[/B] (DrWEB: Trojan.Click.20378)[*] c:\\windows\\svw.exe - [B]Trojan-Clicker.Win32.Osewlone.i[/B] (DrWEB: Trojan.Click.20378)[*] c:\\windows\\svx.exe - [B]Trojan-Clicker.Win32.Osewlone.i[/B] (DrWEB: Trojan.Click.20378)[*] c:\\windows\\vlc.exe - [B]Trojan-Clicker.Win32.Osewlone.i[/B] (DrWEB: Trojan.Click.20378)[*] c:\\windows\\wdmon.exe - [B]Trojan-Clicker.Win32.Osewlone.i[/B] (DrWEB: Trojan.Click.20378)[/LIST][/LIST]