Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Помогите! (заявка № 12505)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49

    Thumbs up Помогите!

    Какая-то зараза ест мой трафик. DrWeb, Касперский, RemoveIT, AdAware - каждая из программ что-то нашла, полечила - все равно трафик улетает.
    Помогите!

    При попытке выполнить скрипт лечения/карантина и сбора информации AVZ система показывает синий экран - поэтому лога только два.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ..
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\3J4i2M8W.exe','');       
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ..
    сделайте лог http://virusinfo.info/showthread.php?t=10387

  4. #3
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    47
    Руткит засел хитрый...
    Итак:

    1. AVZ - Файл - Выполнить скрипт:

    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\3J4i2M8W.exe','');
    RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','Upxw72');
    BC_QrSvc('Upxw72');
    BC_DeleteSvc('Upxw72');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После чего пришлите карантин согласно приложению 3 правил

    2. Затем зайдите в панель управления компьютером и удалите там задания планировщика, если их запланировали не Вы (в чем я почти не сомневаюсь ).

    3. Попробуйте повторить логи по правилам. Особенно интересует тот, что не получается.

    Упс, опередили...
    Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    Скрипт выполнил. Компьютер перезагрузился, но когда я пытаюсь открыть карантин, чтобы заархивировать, как описано в правилах - вижу пустое окно.
    В планировщике - действительно, 24 штуки заданий, которые каждый час должны запускать вот этот самый 3J4i2M8W.exe.

    Добавлено через 5 минут

    Выполнить скрипт лечения/карантина по-прежнему не могу: синий экран
    0x0000007E (0xC0000005, 0x8061941D, 0xF8ADF854, 0xF8ADF550).
    Последний раз редактировалось MexaHuk; 16.09.2007 в 22:19. Причина: Добавлено

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    сделайте дополнительный лог ...

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    Логи:
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    интересует лог http://virusinfo.info/showthread.php?t=10387

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    Сделал:

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    Пардон! вот лог.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт...
    Код:
    begin
     BC_QrSvc('kprof');
     BC_QrSvc('poof');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    Выполнено:
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    не хватает скрипта лечения/карантина и сбора информации AVZ (должен запуститься) ...

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    Действительно, теперь запускается :)
    Вложения Вложения

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    На всякий случай выслал карантин.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт...
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\drivers\Upxw72.sys');
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Upxw72.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('symavc32');
    BC_DeleteSvc('Upxw72');
     BC_Activate;
     RebootWindows(true);
    end.
    повторите логи ...

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    Сделал. Победа? )
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\SDFix\backups\backups.zip/{ZIP}/backups/runtime2.sys -зловред консервированный ?
    похоже победа ... но сделайте еще лог http://virusinfo.info/showthread.php?t=10387
    что из этого используете ?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule ()
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    чуть не забыл , а ваш антивирус где ? в отпуск ушел ?

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    C:\SDFix\backups\backups.zip/{ZIP}/backups/runtime2.sys - видимо, осталось после использования SDFix. Столько уже этих трояноубивателей перепробовал, что и не упомню...
    Компьютер домашний. Сознательно - ни одну из этих служб не использую, даже слабо представляю, для чего они нужны.
    Лог:
    Вложения Вложения

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2007
    Сообщений
    19
    Вес репутации
    49
    Цитата Сообщение от V_Bond Посмотреть сообщение

    чуть не забыл , а ваш антивирус где ? в отпуск ушел ?
    Антивирус ставлю приблизительно раз в месяц, проверяюсь и сношу. Если стоит постоянно - время от времени возникают проблемы с доступом к интернету. Отчего так, непонятно, а у техслужбы провайдера один ответ - "отключите файрволл и антивирусы, если есть".

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    закроем потенциальные дыры ....
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.
    без антивируса в интернете компьютер остается чистым , около часа ...
    у вас ... зоопарк тоже неплохой был
    зловредов больше не вижу... если проблем нет лечение можно считать законченным ..

  • Уважаемый(ая) MexaHuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01605 seconds with 17 queries