После вирусной атаки.

Printable View

08.04.2008, 17:04
VladYur

После вирусной атаки.

Добрый день!
Пропустил вирусов, компьютер как взбесился и каспер визжал и системные сообщения были о копировании диска С. Как смог посражался, CureIt и Каспер нашли вместе более сотни.
Теперь при попытке открыть панель управления, изменить дату/время сообщает "Операция отменена вследствие действующих для компьютера ограничений". Панель управления из Пуска исчезла, я её через принтеры и папки нахожу. Другие компьютеры сети через этот выйти в инет не могут, а он у нас шлюзом работал. Локальная сеть работает. С этого выход в инет есть. Что интересно Каспер не отражает в Сетевом экране в Правилах для приложений ни одного.
08.04.2008, 17:05
Гриша

[url]http://virusinfo.info/showthread.php?t=1235[/url]
08.04.2008, 17:11
VladYur

Вложений: 3

Вот логи.
08.04.2008, 17:33
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
QuarantineFile('wowfx.dll','');
QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
QuarantineFile('c:\windows\system32\wowfx.dll','');
QuarantineFile('C:\windows\System32\Drivers\Oej18.sys','');
QuarantineFile('C:\Documents and Settings\MLN\ie_updates3r.exe','');
QuarantineFile('C:\windows\System32\Drivers\Oej18.sys','');
DeleteFile('C:\windows\System32\Drivers\Oej18.sys');
DeleteFile('wowfx.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]

Профиксить:
O20 - Winlogon Notify: partnershipreg - C:\windows\

Сделать новые логи после перезагрузки.
08.04.2008, 17:42
drongo

вам систему нужно обновлять. sp3 на носу, а у вас sp1 ;)

в каспере, базы шпионов подключены?
10.04.2008, 17:12
VladYur

Вложений: 3

Не можу я SP2 поставить - стоит лицензионная нервная 1С8.
Панель управления появилась. Отключена служба общего доступа к инету и неожиданно в сетевом появились незнакомые компьютеры, по которым можно легко перемещаться. Других проблем вроде не видно.
Вот логи.
10.04.2008, 17:17
VladYur

[quote=drongo;212834]вам систему нужно обновлять. sp3 на носу, а у вас sp1 ;)

в каспере, базы шпионов подключены?[/quote]
На антишпионе галочка стоит, про базы не знаю.
10.04.2008, 17:31
PavelA

Карантин загрузили? А то много каких-то странных файлов у Вас на машине.
10.04.2008, 17:31
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\MLN\ie_updates3r.exe','');
QuarantineFile('C:\windows\Java\crypto-c24168.tmp','');
QuarantineFile('C:\windows\Java\bjnidisp24169.tmp','');
QuarantineFile('C:\windows\Java\bjnidisp24167.tmp','');
DeleteFile('C:\Documents and Settings\MLN\ie_updates3r.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
10.04.2008, 18:19
VladYur

Карантин выслал.
Java скорее всего безопасная.
После перезагрузки комп чудесным образом висел, пока я не отключил процесс hppscan3.exe. Вроде по названию он похож на Хьюлетовский, но с чего бы ему трудиться при отключенном МФУ. Хотя может просто по времени совпало, а висел просто так.
После выполнения скриптов комп сам не перезагружается. Очищает рабочий стол и висит. Приходится резетить.
10.04.2008, 18:23
Гриша

В карантине пусто,повторите логи.
10.04.2008, 18:27
Bratez

Сделайте логи, начиная с п.10 правил, с запущенным IE.
11.04.2008, 16:11
VladYur

Вложений: 3

Вот логи.
С комп.ом вроде нормально, но так и не можем настроить общий доступ.
"Ошибка при разрешении общего доступа к интернету.
Указанная служба не установлена."
Куда бы она делась?
11.04.2008, 16:45
Bratez

В логах ничего подозрительного.
Какие-то проблемы остались?
11.04.2008, 16:47
VladYur

С комп.ом вроде нормально, но так и не можем настроить общий доступ.
"Ошибка при разрешении общего доступа к интернету.
Указанная служба не установлена."
Куда бы она делась?
11.04.2008, 17:13
Bratez

Проверьте, есть ли в списке служб Диспетчер подключений удаленного доступа?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Если нет - решение тут:
[url]http://virusinfo.info/showpost.php?p=213701&postcount=30[/url]
11.04.2008, 17:36
VladYur

Диспетчер есть, запустил, эффекта нет.
Скачать файл не могу - при переходе на страницу с файлом сбрасывает регистрацию.
Вот это пишет:
"Вы неавторизованы на форуме или не имеете доступа к этой странице. Это могло произойти по одной из нескольких причин:"
Если ссылку в отдельном окне открывать, то вот -
"Сообщение не указана(о) или не существует. Если вы уверены, что использовали правильную ссылку, свяжитесь с администрацией"
11.04.2008, 17:46
Bratez

Если Диспетчер подключений есть, вам тот файл не нужен.

Сделайте в AVZ: Сервис - Диспетчер служб и драйверов, Тип - Службы, Статус - Все, Сохранить протокол. Упакуйте протокол в zip и приложите сюда.
11.04.2008, 18:00
VladYur

Отправил.
11.04.2008, 18:21
Bratez

У вас не хватает службы брандмауера (SharedAccess), возможно в этом проблема. Скачайте приложенный файл, распакуйте, запустите, на вопрос о добавлении в реестр ответить положительно. Затем откройте список служб, найдите "Брандмауэр Windows/Общий доступ к Интернету (ICS)" и поставьте ему тип запуска "Авто". Затем перезагрузите компьютер.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Что-то файл никак не могу прицепить ;)
11.04.2008, 18:25
Bratez

...
11.04.2008, 18:26
Bratez

О, получилось! ;)
22.02.2009, 04:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]