Printable View
Всем добрый день!
У нас такая проблема: При включении интернета к нам лезут черви типа brontok (a,q), lovgate.ad, roron55.b!
На ПК установлен Касперский 6.0 он их постоянно отлавливает, но избавиться от этой проблемы мы никак не можем! Каким образом можно закрыть ворота на наш ПК, чтобы эти мерзкие тв...и не лезли?
С уважением, Эдуард
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите содержимое карантина, как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] . В дополнение, выполните те процедуры, что описаны здесь: [url]http://virusinfo.info/showthread.php?t=8877[/url] . Если Касперский нормально обновляется, то обновите его базы, [URL="http://virusinfo.info/showthread.php?t=9279"]загрузитесь в безопасном режиме[/URL] и проверьте все жесткие диски. Если обновление антивируса Касперского не производится, скачайте [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt![/URL] и проверьте систему им, так же загрузившись в безопасном режиме. По окончании всех процедур, сделайте новые логи, начиная с п.10 правил.
После выполнения рекомендаций от [B]Numb[/B], [URL="http://virusinfo.info/showthread.php?t=7239"]выполните[/URL] мой скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\soundman.exe','');
RebootWindows(false);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
[QUOTE='VIZIT;121252']У нас такая проблема[/QUOTE]У кого это нас? ПК стоит на предприятии?
[B]Numb[/B], Я на форуме немного полазил и понял, что необходимо было установить программу Firewall! Чем и занимался до сего момента, т.е. установил пробную версию. Пока на ПК чисто! Вот только я чего то не допонял, эта программа не совместима с Касперским? У меня пока все работает! Так что я пока не буду делать вышеупомянутые действия.
[size="1"][color="#666686"][B]Добавлено через 3 минуты[/B][/color][/size]
[B]Maxim[/B], У меня вот еще какой вопрос? Где и каким образом можно поблагодарить "форумчанина"?
А Вас благодарю за полезную информацию!!!
[QUOTE='VIZIT;121304']У меня пока все работает! Так что я пока не буду делать вышеупомянутые действия.[/QUOTE]Вот именно. [U]Пока[/U] работает. Выполняйте лучше рекомендации.
[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
[QUOTE='VIZIT;121304']Где и каким образом можно поблагодарить "форумчанина"?
А Вас благодарю за полезную информацию!!![/QUOTE]Благодарить ещё рано. Ну раз спросили - отвечу.
1. Есть рейтинг (репутация).
2. [URL="http://www.virusinfo.info/showthread.php?t=3519"]Оказав нам помощь в сборе базы безопасных файлов[/URL].
[B]Numb[/B], Максим был прав! Вирусняк опять полез :-(.
Запустил скрипт - выдает ошибку (Ошибка в работе антируткита [Range chek error], шаг [11])
Что делать теперь?
Вы чей скрипт запустили? Мой или Maxim-а? Давайте попробуем объединить: [code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('c:\windows\soundman.exe','');
DeleteFile('C:\autorun.inf');
BC_importall;
BC_activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Карантина от вас не пришло, поэтому, подозреваю, что и проверку машины в безопасном режиме вы не проводили. Все рекомендации из моего первого поста остаются в силе: после перезагрузки,загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=10898[/url] , проведите процедуры, описанные здесь - [url]http://virusinfo.info/showthread.php?t=8877[/url] . Если Касперский обновляется нормально, обновите базы, если нет - загрузите [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]Cureit![/URL]. Перезагрузите систему [URL="http://virusinfo.info/showthread.php?t=9279"]в безопасном режиме[/URL] и проверьте все диски. По окончании проверки, загрузитесь в обычном режиме и сделайте логи, начиная с п. 10 правил.
[B]Numb[/B], Так я и запускал Ваш скрипт. Так у меня ошибку выдает (Ошибка в работе антируткита [Range chek error], шаг [11]) и ПК не перезагружается. Так что делать, я не понял?
Выполните скрипт из моего последнего сообщения - там нет антируткита вообще. Если скрипт успешно отработает, система будет перезагружена. После перезагрузки, загрузите карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=10898[/url] . Перезагрузите машину в безопасном режиме и проверьте все диски антивирусом с актуальными базами (ссылки я уже давал) . По окончании проверки, загрузитесь в обычном режиме и выполните поиск и удаление файлов и значений реестра, указанных здесь - [url]http://virusinfo.info/showthread.php?t=8877[/url].
По окончании всех этих действий сделайте новые логи. Вроде-бы, все понятно.
[B]Numb[/B], Тут у моих провайдеров обрыв сети произошел, за что приношу извенение за тайм - аут.
Так вот попробовал и совместный скрипт запустить, ПК выдает ошибку (всплывает окошко) Failed toset data for 'Displayname'
Прошу прощения, я в конце скрипта не поставил точку, скрипт выполнил!
Подробнее, пожалуйста: в какой момент появляется сообщение об ошибке? Попадает ли что-нибудь в карантин после выполнения скрипта? В любом случае, необходимо выполнить все инструкции, которые указаны [URL="http://virusinfo.info/showthread.php?t=8877"]здесь[/URL], и провести проверку машины антивирусом с актуальными базами, загрузившись в безопасном режиме.
[B]Numb[/B], Вроде бы все получилось, теперь мне нужно выложить логи?
Каким образом мне их присоединить к данному сообщению или нужно создать новое?
Прикрепите логи к этой теме . Новую тему создавать не нужно
Пока общались у меня Касперский опять червей наловил :'-(
Я так понял, что у меня получилась опять новая тема:? Так я их тут и прикрепил.
Новые логи,которые вы сделали уже после выполнения скрипта,прикрепите их к своему сообщению.
[B]Maxim[/B], Что-то я может быть не совсем понял? Все делал по описанной выше схеме, но как только захожу в инет, чтобы послать на форум логи, так эти черви снова лезут!!! Вчера провел всю ночь за ПК, открывал каждую папочку, удалил все файлы autorun, в реестре раскрыл ключ проверил system32\userinit.exe, удалил ключ и не помагло. Включаю сеть и черви полезли!!!
Просто реветь хочется... Какой смысл посылать логи и т.д.?
Может быть есть более простой опыт закрыть двери навсегда этим тварям. У меня стоит Касперский и Firewall - может в них нужно сделать более тонкие настройки.
У вас локальная сеть? И диски в неё открыты? Пароль на учётную запись администратора есть?
[B]pig[/B], У нас локальная сеть, диски были открыты (сейчас закрыл), пароль на учетную запись администратора не ставил.
После всех выполненных мной действий, которые были мне прописаны пока вирусы не лезут, т.е. Касперский молчит.
У меня вопрос. Возможно использовать совместно Касперского и Firewall?
Возможно. Если у вас поставлен KIS, то файрвол там есть свой собственный (встроенный в Windows надо отключить, чтобы не конфликтовали). Если поставлен KAV, то можно либо встроенный файрвол, либо один из [url=http://virusinfo.info/forumdisplay.php?f=40]рекомендуемых[/url].
Так администратора вы запаролили? Очень рекомендуется во избежание.
[B]pig[/B], Администратора я не запаролил. На ПК стоит Касперский 6.0 и Outpost Firewall. Сегодня с утра включил машину и подключил Инет. Пока Касперский молчит, т.е. полет нормальный!!! Можно кричать Ура!? (15:00)
А пароль на администратора,всё же установите.
[B]pig[/B], У меня опять вопрос?
Программа Outpost Firewall выдает отчет об обнаружении атаки портов (IP адрес: 10.0.12.244). Я так понимаю, что ко мне кто-то хочет попасть, главное один и тот же порт ежедневно и не поодному разу. Каким образом можно узнать кому принадлежит эта машина?
Я здесь добавил текстовый документ, успел поймать этот отчет
Спрашивайте администратора вашей локальной сети. Машина оттуда.
[B]pig[/B], Спасибо за совет!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]