Делал проверки антивирусами, они ничего не находили, но есть подозрение, что всё таки в системе есть троянец :) Посмотрите, пожалуйста, логи :) Когда делал проверку сюрентом в безопасном режиме, то вылетал BSOD.
Printable View
Делал проверки антивирусами, они ничего не находили, но есть подозрение, что всё таки в системе есть троянец :) Посмотрите, пожалуйста, логи :) Когда делал проверку сюрентом в безопасном режиме, то вылетал BSOD.
Вы MultiPassword Recovery устанавливали?
Вы Pcap устанавливали или пользовались какими-либо программами для перехвата и анализа сетевого трафика?
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Серж\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Серж\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Серж\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('95289393-33EA-4F8D-B952-483415B9C955');
DelBHO('A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\60122299.sys','');
QuarantineFile('C:\Documents and Settings\Серж\Рабочий стол\Файлы\Мои проги\5\calk.exe','');
QuarantineFile('C:\Documents and Settings\Серж\Рабочий стол\Файлы\Мои проги\5\5.exe','');
QuarantineFile('C:\Documents and Settings\Серж\Рабочий стол\Файлы\Мои проги\10\10.3.exe','');
QuarantineFile('C:\Documents and Settings\Серж\Рабочий стол\Файлы\Мои проги\10\10.1.exe','');
DeleteFile('C:\Documents and Settings\Серж\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно пункта 2[URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]
virusinfo_syscheck.zip
[/I]
[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
[I]gmer.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
[QUOTE=gjf;475415]Вы MultiPassword Recovery устанавливали?[/QUOTE]
Да :) Он и на данный момент установлен.
[QUOTE=gjf;475415]Вы Pcap устанавливали или пользовались какими-либо программами для перехвата и анализа сетевого трафика?[/QUOTE]
Нет не пользовался. Comodo показывает, что процесс system ломится на другие ip'шники на 445 порт и 139.
[CODE].[/CODE]
После выполнения скрипта и когда пофиксил в HiJackThis устранился старый баг, т.е. в автоматическом обновление были залочены настройки (загружать или не загружать обновления), после перезагрузки появилась иконка обновления. :clapping:
И также после перезагрузки, появилась автозагрузка со съёмных носителей информации (Это я её отключал для того, чтобы autorun'ы вирусованые не лезли)
Файл сохранён как 090928_104304_virus_4ac05af8d9f13.zip
Размер файла 228282
MD5 6e8314b72c688f7e839f9e3c2febe912
В дополнение, выполните еще один скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
BC_ImportquarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки, карантин AVZ загрузите по ссылке в шапке темы.
Сделано =)
Файл сохранён как 090928_214544_virus_4ac0f64829b49.zip
Размер файла 208132
MD5 dda431ab6334838d92b78bb3bb787661
[B]tcpip.sys[/B] - чистый (ВТ 0/41).
Это радует =) Спасибо мужики за помощь :beer:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]