Printable View
Седня переставлял КИСу и и инет не вырубал, по ходу, вири сидели в засаде и сразу прошмыгнули.
НОвая КИСА сразу в автозапуске нашла несколько троев.
Потом ребутнула и сделал все логи.
Откуда вири лезут, есть идея...
Юзаю мула активно и когда изза КИСы его коннект ухудшился, я ничего лучше не придумал, как сделать мулу: Разрешить всё!
Буду благодарен, если скажите, какие настройки нужны для мула и торрента!?
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINDOWS\system32\qt-dx331.dll','');
QuarantineFile('sphv.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\hotcore3.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17598[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O4 - HKCU\..\Run: [german.exe] D:\WINDOWS\system32\wintems.exe[/CODE]
uphcleanhlp.sys - от майкрософтской UPHClean - позволяет завершать сеанс работы более качественно и быстро ;)
[quote]Юзаю мула активно и когда изза КИСы его коннект ухудшился, я ничего лучше не придумал, как сделать мулу: Разрешить всё![/quote]
[url=http://devbuilds.kaspersky-labs.com/devbuilds/7.0.1.323%20nct/KIS/Russian/]Поставь новую сборку[/url] ускориться
[QUOTE=rubin;183583]uphcleanhlp.sys - от майкрософтской UPHClean - позволяет завершать сеанс работы более качественно и быстро ;)[/QUOTE]
Не, Рубинчик, не помог он....
Скрипт последний тока улучшил ситуацию.
Логи done!
Киску новую скачал, щас и поставлю, инет вырубить не забуду...
А мулу там какие настройки назначить, как для какого приложения!?
Ещё раз приаттачил...
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Чото пишет: вы уже вложили эти логи!
А я ж скрипт делал...
ХЗ...
Имена файлов слегка поменяйте - вложатся.
[QUOTE=pig;183624]Имена файлов слегка поменяйте - вложатся.[/QUOTE]
Имена менял, то ж самое: вы уже их выкладывали!
Мож новые сделать!?
Скажите, пожалста, как мула в КИСе настроить!?
LowID меня убивает:(
[quote]Чото пишет: вы уже вложили эти логи![/quote]
Вложили я только карантин брал...
Ну уважаемый ищем [b]wintems.exe[/b] с помощью AVZ и фиксим
[code]O4 - HKCU\..\Run: [german.exe] D:\WINDOWS\system32\wintems.exe[/code]
Необходимо отключить антивирус и интернет соотвественно перед фиксом, а после перезагрузки включить:)
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[quote]Скажите, пожалста, как мула в КИСе настроить!?
LowID меня убивает[/quote]
Мул это IE? Как рекомендация перейди на альтернативный браузер + откл JS
С новой сборкой таких проблем не наблюдаю
Повторите лог HJT
[QUOTE=Rick1;183634]Скажите, пожалста, как мула в КИСе настроить!?
LowID меня убивает:([/QUOTE]
Может у вас "колхозный" IP? Если да, тогда используйте услугу "Выделенный (внешний) IP-адрес" вашего провайдера.
2akoK Мул это emule
Фиксить wintems.exe - это удалить?
Мул - emule, p2p клиент, качает с пользоватей всё что угодно!
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[QUOTE=Shu_b;183696]Может у вас "колхозный" IP? Если да, тогда используйте услугу "Выделенный (внешний) IP-адрес" вашего провайдера.
2akoK Мул это emule[/QUOTE]
У меня прямой, он же внешний, он же real IP! Плачу 140р в месяц за него.
Щас мул HI ID, т.к. я в КИСе поставил ему: разрешить всё.
А стоит ли ему всё разрешать!?
Мож чего другое ему поставить?
[b]Фиксить wintems.exe - это удалить?[/b]
Удалить запись в реестре
Как рекомендация юзай интернет через ограниченного пользователя...вирь просто не сядет на машину
[QUOTE=Rick1;183697]Мож чего другое ему поставить?[/QUOTE]
было тут [url]http://virusinfo.info/showthread.php?p=107015#post107015[/url]
или так [url]http://pcnews2.ru/text/222[/url]
а вообще поиск помогает ;) [url]http://www.yandex.ru/yandsearch?text=firewall+emule[/url]
[QUOTE=akoK;183708][b]Фиксить wintems.exe - это удалить?[/b]
Удалить запись в реестре
Как рекомендация юзай интернет через ограниченного пользователя...вирь просто не сядет на машину[/QUOTE]
Удалить в реестре? А как!? В AVZ нет такой опции..
в jv16 найти?
А ограниченный как это!? создать юзера и через него входить!?
НЕ админом?
НЕудобно ж.
[QUOTE=Rick1;183724]Удалить в реестре? А как!? В AVZ нет такой опции..
[/QUOTE]
Фиксить нужно строчку, которую написал [b]akoK[/b], в HJT [url]http://virusinfo.info/showthread.php?t=4491[/url]
[quote]А ограниченный как это!? создать юзера и через него входить!?
НЕ админом?
НЕудобно ж.[/quote]
Неудобно первое время...потом привыкаеш через запустить от имени....зато вирей почти нет
В HJT нет такой строчки: O4 - HKCU\..\Run: [german.exe] D:\WINDOWS\system32\wintems.exe
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=akoK;183767]Неудобно первое время...потом привыкаеш через запустить от имени....зато вирей почти нет[/QUOTE]
Чего запустить от имени?
Инет?
[quote]Чего запустить от имени?
Инет?[/quote]
[b]akoK[/b] имеет в виду, что работая не под администратором, можно запускать нужные приложения от его имени - правая кнопка по приложения - "запуск от имени"
Так значит, надо 1-го юзера создать и через него заходить!?
А автоматический вход будет работать?