левый dhcp-сервер на компе.

Printable View

16.04.2009, 14:11
mic149

левый dhcp-сервер на компе.

помогите вылечить компьютер
16.04.2009, 15:09
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF82732D-44DA-4DEB-A1C5-2D0B232E04AA}: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1E623A3-0671-4B26-B8D7-ED7131C0BDD3}: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.153,85.255.112.92
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.153,85.255.112.92
[/code]
Выполните скрипт в AVZ:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-0-2-83-100012980-100030368-100015832-2337.com','');
QuarantineFile('D:\RECYCLER\S-0-2-83-100012980-100030368-100015832-2337.com','');
DeleteFile('D:\RECYCLER\S-0-2-83-100012980-100030368-100015832-2337.com');
DeleteFile('C:\RECYCLER\S-0-2-83-100012980-100030368-100015832-2337.com');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=43949[/url]).
Сделайте новые логи.
16.04.2009, 16:00
mic149

логи

новые логи
16.04.2009, 16:14
Bratez

[QUOTE]Восстановление системы: включено[/QUOTE]
???

Что с проблемой?
16.04.2009, 16:32
mic149

отключил автовосстановление и все сдалал по новой

еще сделал обычное сканирование, кажется добавился один вирус в карантине, послал карантин снова

проблема dhcp сервера осталась, но что-то вылечилось, т.к. стал доступен Windows Update сайт
16.04.2009, 16:51
Bratez

В AVZ установите драйвер расширенного мониторинга (AVZPM), перезагрузите компьютер и сделайте этот лог еще раз.
16.04.2009, 17:12
mic149

сделал

:?
16.04.2009, 17:18
Bratez

Вот он и попался! ;)

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\drivers\gaopdxrgfxyjklyliisuwhoysppxrlxodkakve.sys','');
DeleteFile('C:\windows\system32\drivers\gaopdxrgfxyjklyliisuwhoysppxrlxodkakve.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (п.2 и 3 раздела Диагностика).
16.04.2009, 17:45
mic149

Кажется оно умерло!

dhcp сервер больше неактивен! победили! спасибо! :clapping:
17.04.2009, 02:49
Bratez

Это был [B]Trojan.Win32.Agent2.ibc[/B] - свежак! ;)

Теперь чисто.
18.04.2009, 02:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-0-2-83-100012980-100030368-100015832-2337.com - [B]Trojan.Win32.TDSS.yjs[/B] ( DrWEB: BackDoor.Tdss.112, BitDefender: Trojan.TDss.EF )[*] c:\windows\system32\drivers\gaopdxrgfxyjklyliisuwhoysppxrlxodkakve.sys - [B]Trojan.Win32.Agent2.ibc[/B] ( DrWEB: BackDoor.Tdss.115 )[*] d:\recycler\s-0-2-83-100012980-100030368-100015832-2337.com - [B]Trojan.Win32.TDSS.yjs[/B] ( DrWEB: BackDoor.Tdss.112, BitDefender: Trojan.TDss.EF )[/LIST][/LIST]