Опять проблемы с сеткой.

Printable View

29.11.2010, 20:15
ascodts

Опять проблемы с сеткой.

Ноут не видел сети вообще - при сканировании ничего не нашлось, но последовательное скрипт3-скрипт2-Hijackthis-ручками отключил подозрительные ключи RUN-восстановление системы (опции связанные с проводником, сетью и IE, в том числе 18).
Сейчас сетка работает нормально, только при входе в десктоп как-то подлипает.
Проверьте пож-та логи - кто там еще прячется?
29.11.2010, 20:42
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
30.11.2010, 11:01
ascodts

Новые логи. Я вот только не помню - карантин отправил или нет.
30.11.2010, 11:13
olejah

Не-а, не отправили.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Samsung\MITs\MITs Wizard 3.0\Common\OTT_ParseSEMIMOTION.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
30.11.2010, 11:23
ascodts

[B]Результат загрузки[/B]

Файл сохранён как.........101130_112143_quarantine_4cf4b41773d6e.zip
Размер файла................1156
MD5..............................d93fc6b3bc9a5f46dec44c0f0b228f0e
30.11.2010, 11:40
olejah

[B]C:\Program Files\Samsung\MITs\MITs Wizard 3.0\Common\OTT_ParseSEMIMOTION.dll[/B] - вот этот файл проверьте на [URL="http://www.virustotal.com/"]http://www.virustotal.com/[/URL]. Ссылку на результат приложите сюда.
30.11.2010, 11:53
ascodts

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 77f3e526fab6198759a3477c0546a41c
Date first seen: 2009-05-30 23:23:08 (UTC)
Date last seen: 2009-05-30 23:23:08 (UTC)
Detection ratio: 0/40
30.11.2010, 11:55
olejah

Что с проблемой?

- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите [url="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Сервис Пак 3[/url] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить [b][color="Red"]все защитные приложения[/color][/b] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
30.11.2010, 11:58
ascodts

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: OTT_ParseSEMIMOTION.dll
Submission date: 2010-11-30 08:52:59 (UTC)
Current status: queued (#4) queued (#4) analysing finished

Result: 0/ 43 (0.0%)
VT Community

not reviewed
Safety score: -

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.30.00 2010.11.29 -
AntiVir 7.10.14.136 2010.11.29 -
Antiy-AVL 2.0.3.7 2010.11.30 -
Avast 4.8.1351.0 2010.11.29 -
Avast5 5.0.677.0 2010.11.29 -
AVG 9.0.0.851 2010.11.30 -
BitDefender 7.2 2010.11.30 -
CAT-QuickHeal 11.00 2010.11.30 -
ClamAV 0.96.4.0 2010.11.30 -
Command 5.2.11.5 2010.11.30 -
Comodo 6898 2010.11.30 -
DrWeb 5.0.2.03300 2010.11.30 -
Emsisoft 5.0.0.50 2010.11.30 -
eSafe 7.0.17.0 2010.11.29 -
eTrust-Vet 36.1.8007 2010.11.29 -
F-Prot 4.6.2.117 2010.11.29 -
F-Secure 9.0.16160.0 2010.11.30 -
Fortinet 4.2.254.0 2010.11.29 -
GData 21 2010.11.30 -
Ikarus T3.1.1.90.0 2010.11.30 -
Jiangmin 13.0.900 2010.11.30 -
K7AntiVirus 9.69.3115 2010.11.29 -
Kaspersky 7.0.0.125 2010.11.30 -
McAfee 5.400.0.1158 2010.11.30 -
McAfee-GW-Edition 2010.1C 2010.11.30 -
Microsoft 1.6402 2010.11.30 -
NOD32 5659 2010.11.29 -
Norman 6.06.10 2010.11.29 -
nProtect 2010-11-30.01 2010.11.30 -
Panda 10.0.2.7 2010.11.29 -
PCTools 7.0.3.5 2010.11.30 -
Prevx 3.0 2010.11.30 -
Rising 22.76.00.03 2010.11.30 -
Sophos 4.60.0 2010.11.30 -
SUPERAntiSpyware 4.40.0.1006 2010.11.30 -
Symantec 20101.2.0.161 2010.11.30 -
TheHacker 6.7.0.1.093 2010.11.30 -
TrendMicro 9.120.0.1004 2010.11.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 -
VBA32 3.12.14.2 2010.11.29 -
VIPRE 7451 2010.11.30 -
ViRobot 2010.11.30.4176 2010.11.30 -
VirusBuster 13.6.66.0 2010.11.29 -
Additional informationShow all
MD5 : 77f3e526fab6198759a3477c0546a41c
SHA1 : a279b24ae2b67db78dc3abeb555512589a52d0d0
SHA256: b11df9e953712307ba82b7f3b1d5bfc8306585b5705496bf3e41b5cd1449f933

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Проблем почти нет - только на загрузке долго ждем когда "отпустит" панель задач и когда все отпускает появляется окно о проблемах с подключением к сервису nod32. Nod я удалял через штатные средства. Перед установкой KIS надо-бы зачистить.
30.11.2010, 12:00
olejah

Зачищайте так - [URL="http://virusinfo.info/showthread.php?t=16646"]http://virusinfo.info/showthread.php?t=16646[/URL]
01.12.2010, 12:33
ascodts

Неожиданно вылезла проблема - после установки SP3 ноут грузится только в безопасном режиме, в обычном перезагрузка из-за BSOD 0x7e
23.01.2011, 21:02
ascodts

Удалось решить проблему 0x7e - оказывается есть такая бага у SP3: при установке на некоторые машины с AMD начинает криво запускаться драйвер Intel PPM (c:\windows\system32\drivers\intelppm.sys). Длительность поиска виновного вызвана тем, что запретив его запуск при помощи утилит диска BartPE, на самом деле запуск не прекратил. Помогло просто переименовать его файл. Любопытное наблюдение - при "чистой установке" с диска с интегрированным SP3 все работает нормально.
24.01.2011, 21:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]