здравствуйте, помогите пожалуйста.
есть подозрения по работе этого процесса.
Printable View
здравствуйте, помогите пожалуйста.
есть подозрения по работе этого процесса.
Здравствуйте! Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\vtany.sys','');
SetServiceStart('vtany', 4);
DeleteService('vtany');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\vtany.sys');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.
карантин выслал,
новый лог:
В логе чисто, что с проблемой?
Рекомендую:
- удалить Bonjour--[URL]http://virusinfo.info/showthread.php?t=27923[/URL]
- обновить Windows XP SP2 до Windows XP SP3, возможно потребуется активация;
- Internet Explorer v7.00 до Internet Explorer v8.00;
- установить последние обновления на ОС
антивирус не может обновить базы...
74.125.77.***
65.55.184.26
эти сайты упорно по 66кб забирают у меня, данные исходящего трафика.
бонжур не было в програмс файлс, и в программе lspfix не было нужной dll для удаления.
сейчас поставлю sp3, выполню скрипт для удаления бонжур и отпишусь...
Лог MBAM сделайте
поставил сервис пак, бонжур удалил скриптом.
программу MBAM не скачать, сайт не открывается, на айпи сайта отправляется траффик по 66кб =(
Все скачивается, видно Вы что-то не так делаете.
Скачать [URL]http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26[/URL]
видно, у меня что-то с провайдером или же что-то на компьютере мешает =/
спасибо, с мажоргикс скачалось...
[QUOTE]74.125.77.***
65.55.184.26
эти сайты упорно по 66кб забирают у меня, данные исходящего трафика.[/QUOTE]
По поводу сайтов... 65.55.184.26--[URL="http://65.55.184.26/windowsupdate/v6/default.aspx"]http://65.55.184.26/windowsupdate/v6/default.aspx [/URL]-- что-то напоминает?:)
К сожалению, первый не могу проверить--неполный адрес.
Удалите в MBAM
[CODE]аражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
[/CODE]
Отпишитесь
[QUOTE='shapel;578481']первый не могу проверить--неполный адрес.[/QUOTE]
Хватило двух старших байт:
[code]OrgName: Google Inc.
OrgID: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US
NetRange: 74.125.0.0 - 74.125.255.255[/code]
да, благодарю, с виндоус апдейт разобрался сам тоже) как только написал - проверил, чей это айпи)
а первый адрес оканчивается на 100, 101 и 102 чаще всего... вот только с гуглом как-то не могу его сопоставить... да и зачем гуглу насиловать мой компьютер.
[I]IP адрес: 74.125.77.100
Имя сайта: ew-in-f100.1e100.net[/I]
=/
во вложении скрин комодо файрволла, где обрисована моя проблема. так же ведет себя браузер, оправляя по 66 кб на айпи 74.125.77.100-102
сейчас попробую удалить зараженные участки реестра =)
[QUOTE='Morbi;578629']так же ведет себя браузер, оправляя по 66 кб на айпи 74.125.77.100-102[/QUOTE]
Немного поправлю--66b (байт)
Что отправляет эти байты, надо подумать.
да) не углядел, байты)
удалил те значения реестра через мвам, только, когда вылез запрос на перезагрузку, и я нажал "да", появилось окно программки 2ip.ru, которая защищает компьютер от занесения чего-либо в автозапуск, но согласиться на это я не успел >_<
повторно проверил, удаленных значений нет.
но антивирус пока что обновить не удалось, все так же по 66 байт...(
Уже поздно, завтра продолжим.
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 23 минуты[/I][/B][/color][/size]
Сделайте комплект логов.
здравствуйте снова)
даже ютуб не открывается... причиной этому может быть падение днс? у моего провайдера это не редкость.
а еще один айпи адрес, принадлежащий моему провайдеру постоянно сканирует порты, за что блочится файрволлом. этот адрес вроде служит для... работы днс. не знаю, как это корректно сказать.
[QUOTE='Morbi;579219']даже ютуб не открывается... причиной этому может быть падение днс? у моего провайдера это не редкость. [/QUOTE]
Может быть. В логах чисто. Сделайте лог MBAM и Gmer
при попытке открыть сайт gmer...
у Вас нет альтернативной ссылки? =(
[QUOTE='Morbi;579253']у Вас нет альтернативной ссылки? =( [/QUOTE]
[url]http://www.gmer.net/download.php[/url]