Land атака!?

[Vsevolod]

Огромный трафик, невозможно соединиться ни с одним сервером.
Avast(полностью обновлен) – слеп. Trojan Remover тоже. Установил KasperskyAnti-Hackerвыдает –“Ваш компьютер был атакован. Используемая атака - Land. Атака была успешно отражена” , раз в 2 секунды. AVZудалил Trojan-Proxy.Win32.Wopla.ag.Ситуация не изменилась. Что делать?

[V_Bond]

профиксите

Код:

F2 - REG:system.ini: UserInit=H:\WINDOWS\System32\userinit.exe

выполните скрипт

Код:

 begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('H:\Documents and Settings\Оксана\Главное  меню\Программы\Автозагрузка\start1.cmd','');
 QuarantineFile('H:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('H:\WINDOWS\System32\userinit.exe','');
 DeleteFile('H:\WINDOWS\System32\ntos.exe');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
 end.

пришлите карантин согласно приложения 3 правил ...
повторите логи...

[Vsevolod]

После перезагрузки невозможно войти в Windows, выбрасывает на авторизацию. Есть идеи?

[Зайцев Олег]

После перезагрузки невозможно войти в Windows, выбрасывает на авторизацию. Есть идеи?

Скрипт выполнялся с моей правкой ?? Или до нее (в посте №2 еще не было приписки о моей правке и была строка DeleteFile('H:\WINDOWS\System32\userinit.exe'); в скрипте ??? Если до моей правки, то очень плохо, нужно восстановить 'H:\WINDOWS\System32\userinit.exe' из дистрибутива. На всякий случай (если дистрибутива нет под рукой) я приаттачил архив с этим файликом. Файл должен размещаться в H:\WINDOWS\System32\

[Vsevolod]

Спасибо за участие. К сожалению выполнил скрипт без вашей правки( пробую востановить "userinit.exe".

[Зайцев Олег]

Спасибо за участие. К сожалению выполнил скрипт без вашей правки( пробую востановить "userinit.exe".

Увы ... я от имени администрации приношу извинения за ошибку хелпера. Однако вернемся к проблеме - я воспроизвел ситуацию на моем полигоне - работа скрипта к сожалению не ограничилась удалением файла, удалился еще и ключ запуска userinit.exe. Т.е. для восстановления нужно:
1. Восстановить файл H:\WINDOWS\system32\userinit.exe
2. Создать параметр ключа реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, имя параметра Userinit, тип - строка (REG_SZ), значение - H:\WINDOWS\system32\userinit.exe
Это можно сделать, загрузившись с BartPE или аналогичного Boot-диска

[Vsevolod]

К сожалению такого диска под рукой нет. есть Hiren boot cd. как называется утилита?

Добавлено через 3 минуты
Или подскажите где лучше скачать "BartPe" или что-нибудь поменьше, благо возможность имеется. Заранее благодарен.

[Зайцев Олег]

К сожалению такого диска под рукой нет. есть Hiren boot cd. как называется утилита?

Добавлено через 3 минуты
Или подскажите где лучше скачать "BartPe" или что-нибудь поменьше, благо возможность имеется. Заранее благодарен.

В принципе если после загрузки есть доступ к реестру и файлам (т.е. грузится урезанная Windows), то любой Boot диск годится... Для редактирования реестра нужна утилита regedit.
Но я думаю, что можно обойтись без правки реестра - я поставил опыты на "полигоне" с загрузкой при наличии файла userinit.exe
без восстановления реестра - вроде сработало. Таким образом алгоритм:
1. Скачать userinit.zip из поста 4 (или взять из дистрибутива, или с аналогичной XP SP2)
2. распаковать архив и поместить userinit.exe на дискету
3. загрузиться с любого Boot носителя, дающего доступ к файловой системе на диске H, Hiren boot cd я думаю подойдет
4. Скопировать userinit.exe с дискеты в H:\WINDOWS\system32\userinit.exe
5. Перезагрузиться - есть надежда, что система оживет. Если нет - то придется править реестр... все зависит от того, как конкретно прошла чистка в ходе работы скрипта
Вместо дискеты естественно можно флешку применить при условии, что система на boot cd поддерживает работу с флешками ...

[Vsevolod]

Спасибо. пытаюсь разобраться с NTFS4DOS. сейчас что-нибудь придумаю

[Макcим]

А как Вы сейчас выходите на форум? У Вас есть второй компьютер?

[Vsevolod]

Да, и не один. К счастью Windows ожила (хотя было бы намного проще переставить систему и софт Нужно ли мне выполнять скрипт???

[V_Bond]

выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('H:\Documents and Settings\Оксана\Главное  меню\Программы\Автозагрузка\start1.cmd','');
 QuarantineFile('H:\WINDOWS\system32\kprof ','');
 QuarantineFile('H:\WINDOWS\system32\poof','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
 end.

пришлите карантин согласно приложения 3 правил...

[Vsevolod]

после выполнения скрипта система зависла.
Не заметно ни каких улучшений! (

Добавлено через 8 минут
Файл с карантином дошел или нет?

Добавлено через 3 минуты
V_Bond, Помоги мне пожалуйста! Я еще с суббооты не спал. сижу в форуме 5 часов и ни какого прогресса. если все безнадежно, то какой смысл так долго мучится?

[pig]

Ложитесь спать. Утро вечера мудренее.

[Vsevolod]

Через 3 часа начнется верстка газеты. Спасибо за ценный совет.

[Muzzle]

Поищите при помощи AVZ,файл start1.cmd поместите его в карантин и пришлите по правилам.
.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('H:\WINDOWS\system32\poof');
 DeleteFile('H:\WINDOWS\system32\kprof');
 BC_DeleteFile('H:\WINDOWS\system32\poof');
 BC_DeleteFile('H:\WINDOWS\system32\kprof');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Повторите логи.

[Vsevolod]

Вот последние логи.

[Vsevolod]

Кто-нибудь посоветуйте, что дальше!

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('H:\Documents and Settings\Оксана\Local Settings\Temporary Internet Files\Content.IE5\4LMBG163\d4[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Почистите временные файлы Internet Explorer.
о том как почистить компьютер от мусора можно прочесть тут http://www.virusinfo.info/showthread.php?t=10025
Больше ничего не видно плохого,проблема осталась?

[Vsevolod]

проблема осталась! можно сказать ни чего не изменилось((((