Не подключается интернет..., вирусов нет, их удалили вместе с mswsock.dll, а руткит есть(?!)
Здравствуйте, приятель принес компьютер, на который я сам (года два назад) ставил ему Comodo...,
наверное, около года, приятель не подключался к интернет... (использовал для этого второй компьютер)
И вот, принес сразу два компьютера ...на втором 5 штук вирусов, а на этом НЕТ! Точнее CureIt (даже при загрузке с LiveUSB) ничего не находит.
Мои попытки подключиться к сети выявли, что и я не могу подключить этот комп. ...нет библиотеки mswsock.dll (раньше была..., значит ее Comodo снес ? Посмотрел в карантине, там он, голубчик... запись аж от 6 марта 2011
Backdoor.Win32.PcClient.~a@97069727)
Решил, наконец, попробовать AVZ... прочитал инструкцию, прогнал третий скрипт..., увидел там страшные сообщения типа: "Код руткита в функции CopyFileA нейтрализован...", самовосстанавливающийся "C:\autorun.wsh"
В Comodo все сервисы (предварительно) перевел в режим "нективен"
Перегрузился, прогнал скрипт снова, увидел эти "страшные сообщения"... Понял, что мой вопрос: "Где скачать новый mswsock.dll дл Windows XP" - это только начало...
так что, посылаю пока только два файла...
Последний раз редактировалось Altersego; 26.10.2012 в 15:14.
Причина: добавил причину исчезновения mswsock.dll
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Altersego, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В Comodo все сервисы (предварительно) перевел в режим "нективен"
Посмотрел "страшные логи", cmdguard.sys (Comodo) все равно все перехватывает. Попробовал остановить службу (в диспетчере задач), не не слушается. Они (антивирусы), насколько помню все такие... Как их останавливать (и стоит ли)?
1.Благодарю за ссылку, файл mswsock.dll встал, как родной (закачал 300мб обновлений).
2. C:\autorun.wsh отправил Файл сохранён как 121029_155320_virus_508ea670e9ea4.zip Размер файла 639 MD5 5490aa848d066ef6d80a2d7a8ed254a5
3. Логи полного сканирования (2 файла 1)для диска С:\ и 2)флешки) прикрепляю.
4. Поскольку обновлялся и чистил реестр (удалял ошметки BHO для Norton антивирус из IE), прикрепляю и повторные логи AVZ и Hijackthis.
- - - Добавлено - - -
Сообщение от regist
+ видно C:\Program Files\Norton Internet Security\Norton AntiVirus
Как в фильме горец, антивирус должен остаться только один.
- обновите базы AVZ
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
Предустановленному в вместе с Windows антивирусу Norton я лично "отрубил голову" два года назад, когда ставил на этот комп. Comodo...
Помню точно, поскольку он тогда "не хотел умирать", и мне пришлось долго искать его родную утилиту-деинсталлятор на сайте semantec... Вот последняя версия деинсталлятора (может, кому пригодится)
В логах Hijack... вы увидели (точнее, я нашел только) ссылки на BHO Internet Explorer, почистил реестр ручками, вот так
Процедуру проверки исполнил:
Файл сохранён как 121029_164128_virusinfo_files_YOUR-CC5F3F710B_508eb1b8c30c5.zip
Размер файла 248887
MD5 2bd8857723abe6e81e807b320c2b1d98
(Повторный ответ... первое сообщение "исчезло" из ленты)
Спасибо, C:\autorun.wsh отправил, но номер его был только в первом сообщении...
вот логи сканирования (отдельно для диска и флешки)
обновил windows (за год), почистил реестр (Norton BHO Internet Explorer), потому дублирую сканирование AVZ Hijack...
В базу безопасных файлов отправил результаты скрипта №4
Файл сохранён как 121029_164128_virusinfo_files_YOUR-CC5F3F710B_508eb1b8c30c5.zip
Размер файла 248887
MD5 2bd8857723abe6e81e807b320c2b1d98
Последний раз редактировалось Altersego; 29.10.2012 в 21:29.
Здравствуйте, извините за долгий "перерыв", попал в цейтнот... (на работе аврал, друзья притащили на праздники еще два компьютера..., до вчерашнего дня все делал одновременно и в выходные: рекламу для работы и сканирование на вирусы...)
1. Карантин отослал
Файл сохранён как 121106_160428_virus_5099350c0640d.zip
Размер файла 34519
MD5 99af9ef26d4d38fad93c31e54fb4f0f8
2. В нем нет C:\setup.exe
Этот шедевр (приятеля) я вычистил (еще 29-го), ...потом профиксил реестр и диск (Comodo Cleaner...) и не смог найти (!?!) Виноват (цейтнот)...
3. Файл E:\Programmer\brTools\iehv.exe - это с моей флешки (отуда запускал AVZ...)
iehv.exe - это утилита для просмотра файлов истории IE от nirsoft.net,
обычно любой софт я стараюсь скачивать с сайтов разработчиков, однако...здесь засомневался..., и нагуглил только вот этот устаревший вариант ... (контрольная сумма не совпадает с "новым")
4. Сейча проблемы нет. (После фикса C:\setup.exe в Hijacthis запустил полное сканирование в AVZ и mbam... , не увидел ничего нового, потом запустил Comodo:
30.10.2012 21:58:57 Обнаружен C:\SUPPORT\TOOLS\DEPLOY.CAB|factory.exe Heur.Suspicious@104948638 Успех
30.10.2012 22:56:24 В карантин C:\SUPPORT\TOOLS\DEPLOY.CAB Heur.Suspicious@104948638 Успех
После этого повторил все проверки. Проблема исчезла.
Теперь осталось разобраться, чем чреват снос DEPLOY.CAB и где его скачать и восстановить...
И осадить оставшийся осадок (сомнения) по поводу iehv.exe
- - - Добавлено - - -
Еще раз здравствуйте, сообщение (наверху) отослал на прошой неделе. При публикации появилась надпись..., что-то вроде: "Ваше сообщение будет опубликовано после рассмотрения модератором"...
Однако, прошла неделя, но публикации не появилось..., и подобная ситуация уже втрой раз...
Это не претензия, а лишь попытка указать на потери, снижающие качество обслуживания...
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- - - Добавлено - - -
зы. если хотите можете оставить свой отзыв о сайте и пожелания ... ссылка у меня в подписи.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: