Показано с 1 по 15 из 15.

Лезут без конца (заявка № 12522)

  1. #1
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    38

    Thumbs up Лезут без конца

    День добрый. Такая проблема: постоянно лезет при включении IE один и тот же адрес: http://85.255.119.93./dev......... У меня стоит AVAST! Связь блокирует но что то тут не так....
    Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
     QuarantineFile('C:\WINDOWS\system32\admparseh.exe','');
     QuarantineFile('C:\Install\rules.doc','');
     QuarantineFile('C:\WINDOWS\system32\X8shA381.exe','');
     QuarantineFile('C:\WINDOWS\system32\AClient.dll','');
     QuarantineFile('C:\Windows\xpupdate.exe','');
     QuarantineFile('C:\WINDOWS\system32\spools.exe','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
    BC_ImportQuarantineList;
    BC_DeleteSvc('FCI');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    38
    Пока что все по старому......
    Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Логи делать не нужно было, т.к. пока ничего не менялось, скрипт только собирает анализы.
    Карантина вашего не вижу.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    38
    Прошу прощения- не сообразил. Отослал карантин

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    admparseh.exe - Packed.Win32.PolyCrypt.d
    AClient.dll - Packed.Win32.Morphine.a (модификация)

    1. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\admparseh.exe');
     DeleteFile('C:\WINDOWS\system32\AClient.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('UPSRasMan');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Пофиксите в HijackThis:
    Код:
    O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll
    O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\system32\spools.exe
    O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
    O20 - Winlogon Notify: atietaxx - C:\WINDOWS\
    O20 - Winlogon Notify: atietaxx- - atietaxx.dll (file missing)
    3. Удалите все задания в Планировщике.

    Продолжение следует...

    Добавлено через 4 минуты

    Выполните следующий скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ansif.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\crypt32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\cryptnet.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\cscdll.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\wlnotify.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\sclgntfy.dll','');
     QuarantineFile('C:\WINDOWS\system32\mmsvc32.exe','');
     QuarantineFile('C:\WINDOWS\system32\adptifl.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    Последний раз редактировалось Bratez; 17.09.2007 в 15:16. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    38
    Все проделал.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    C:\WINDOWS\SYSTEM32\crypt32.dll
    C:\WINDOWS\SYSTEM32\cryptnet.dll
    C:\WINDOWS\SYSTEM32\cscdll.dll
    C:\WINDOWS\SYSTEM32\wlnotify.dll
    C:\WINDOWS\SYSTEM32\sclgntfy.dll
    Этих файлов в карантине не оказалось, хотя указано, что они добавлены.
    Поищите их вручную через AVZ: Сервис - Поиск файлов на диске
    и пришлите согласно приложению 2 правил.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    38
    Ушел

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Ладно, оставим их, очевидно это настоящие файлы windows, непонятно только, почему они отображены в логе HijackThis...
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\ansif.exe');
     DeleteFile('C:\WINDOWS\system32\adptifl.dll');
    BC_ImportDeletedList;
    BC_DeleteSvc('W32TimeTlntSvr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe
    и сделайте новые логи.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    38
    Последний
    Последний раз редактировалось alsoclean; 30.10.2007 в 14:46.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Больше ничего подозрительного не видно.
    Как чувствует себя пациент?

    И еще посмотрите это:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Что нужно - скажите, остальное поправим.

    Добавлено через 5 минут

    Да, чуть не забыл: задания в Планировщике вы так и не удалили.
    Это можно сделать через Панель управления - Назначенные задания, либо через AVZ: Сервис - Менеджер планировщика заданий.
    Последний раз редактировалось Bratez; 17.09.2007 в 17:00. Причина: Добавлено
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    14.09.2007
    Сообщений
    48
    Вес репутации
    38
    Благодарю - пациент чувствует себя неплохо.
    Насчет служб.....пожалуй (Task Scheduler) и CDROM
    Остальное не имеет для меня значения

    Планировщик стер - спасибо за напоминание

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Вот скрипт для поправки:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    P.S. Если компьютер в локальной сети с использованием общего доступа к файлам, то анонимного пользователя запрещать не надо. В этом случае уберите первую строчку скрипта после begin.
    I am not young enough to know everything...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Советую работать за компьютером под пользователем с ограниченными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  • Уважаемый(ая) alsoclean, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. вирусs лезут через svchost
      От pavel-kvd в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.01.2010, 15:27
    2. Вирусы лезут на комп
      От Михаил Дудкин в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 06:40
    3. Лезут вирусы...
      От Tata80 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 06:07
    4. Шпионы лезут?
      От Messar в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:45
    5. Вири лезут и лезут!
      От Rick1 в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 06.02.2008, 15:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00925 seconds with 16 queries