Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Опять к вам:( (заявка № 16642)

  1. #1
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39

    Thumbs up Опять к вам:(

    Начну сразу с главного. Проблема: не пускает в сеть, звоню провайдеру, он говорит что на ДНС с моего айпи 30 Оо коннектов, или что-то вроде этого сказал, процитировать не смогу. Видимо опять стадо поселилось( Аваст ругался на файл wsock3.dll, CureIT не видит, файл не удаляется авастом и в безопасном режиме тоже глухо. Что делать не представляю. Логи прилагаюся, заранее спасибо.
    Последний раз редактировалось Lostman; 12.02.2008 в 17:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ClearHostsFile;
     SetServiceStart('symavc32', 4);
     StopService('symavc32');
     StopService('Hou75');
     StopService('Ubh74');
     QuarantineFile('c:\windows\system32\nvsvc32.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\antivirus.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\X985L3BG\EliteProtector_Installer[1].exe','');
     QuarantineFile('halifax2.dll','');
     QuarantineFile('C:\WINDOWS\system32\NvMcTray.dll','');
     QuarantineFile('C:\WINDOWS\html32.exe','');
     QuarantineFile('C:\WINDOWS\sy32.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Ubh74.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Hou75.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\p17xfilt.sys','');
     QuarantineFile('C:\WINDOWS\system32\XRegLib.dll','');
     QuarantineFile('C:\WINDOWS\system32\wsock3.dll','');
     QuarantineFile('C:\WINDOWS\system32\basesrv32.dll','');
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteService('symavc32');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16642

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    	F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    Уважемый напрашивается вопрос ПО каким помойкам вас носило?
    Да у вас Пинч после лечения сменить ВСЕ пароли
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    карантин закачал. Строчек таких не было в хайджеке в подтверждение шлю лог.

    "Уважемый напрашивается вопрос ПО каким помойкам вас носило?"
    Поискал курсовик называется Яндекс- найдется все, причем что надо и что ненадо)
    Последний раз редактировалось Lostman; 12.02.2008 в 17:55.

  5. #4
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    Аваст по-прежнему недоволен файликом wsock3.dll

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    1. Скачайте эту программу:
    http://www.tacktech.com/pub/winsockfix/WinsockFix.zip

    2. Запишите настройки своих сетевых подключений.

    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\wsock3.dll');
     DeleteFile('C:\WINDOWS\html32.exe');
     DeleteFile('C:\WINDOWS\sy32.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\antivirus.exe');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\X985L3BG\EliteProtector_Installer[1].exe');
    BC_ImportDeletedList;
    BC_DeleteSvc('Ubh74');
    BC_DeleteSvc('symavc32');
    BC_DeleteSvc('Hou75');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Возможно, после этого запуск системы будет идти очень долго, ничего страшного, просто дайте ему отстояться минут 20.

    4. Запустите скачанную программу и нажмите там кнопку Fix. По завершении работы программы будет перезагрузка, которая уже должна произойти нормально.

    5. Пофиксите в HijackThis:
    Код:
    O2 - BHO: Google Module - {28C703D0-B4A9-4b2f-9123-CE8294761861} - halifax2.dll (file missing)
    O20 - AppInit_DLLs:  sockspy.dll
    6. Файл sockspy.dll поищите через AVZ - Сервис - Поиск файлов на диске.
    Если найдется - пришлите по правилам.

    7. Сделайте новые логи.

    Добавлено через 2 минуты

    P.S. Это еще не все. Остается еще одна штуковина, которую удалим потом отдельно.
    Последний раз редактировалось Bratez; 19.01.2008 в 04:52. Причина: Добавлено
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    мм. Все сделал. Комп грузился как ни странно быстро как всегда. Во время фикса обоих строчек вылезла ошибка, но из списка они исчезли, думаю после перезагрузки появяться снова(

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    C:\WINDOWS\system32\config\systemprofile\Applicati on Data\antivirus.exe not- a virus:FraundTool.Win32.Ultimatedefe
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\X985L3BG\EliteProtector_Installe r[1].exe not- a virus:FraundTool.Win32.Ultimatedefe
    C:\WINDOWS\system32\halifax2.dll Trojan-Spy.Win32.Banker.hnk
    C:\WINDOWS\system32\ntos.exe Trojan-Spay.Win32.Zbot.ng
    C:\WINDOWS\system32\wsock3.dll Trojan-Psw.Win32.Agent.ww
    c:\windows\system32\nvsvc32.exe чистый
    C:\WINDOWS\system32\NvMcTray.dll чистый
    C:\WINDOWS\sy32.exe TR/Crypt.XDR.Gen
    C:\WINDOWS\System32\drivers\Hou75.sys чистый
    C:\WINDOWS\system32\drivers\p17xfilt.sys чистый
    C:\WINDOWS\system32\XRegLib.dll чистый
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\halifax2.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    выполните пункт 2 правил - обязательно полная проверка ....
    повторите логи ...

  9. #8
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    Оправдались опасения. Строчка с sockspy не фиксится, и появляется после перезагрузки. Прикрепляю послеперезагрузочные логи
    Последний раз редактировалось Lostman; 02.04.2008 в 22:14.

  10. #9
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    Прислал файл sockspy.dll в архиве sockspy.zip пароль virus

    Добавлено через 1 минуту

    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните пункт 2 правил - обязательно полная проверка ....
    повторите логи ...
    почему-то cureIT ничего не находил, все было задано по максимуму, прога обновлена
    Последний раз редактировалось Lostman; 19.01.2008 в 11:05. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Выполните скрипт в AVZ
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    Повторите логи. Прикрепите также файл SubSystems.log из папки AVZ.

  12. #11
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    Все сделал шлю лооги)
    Последний раз редактировалось Lostman; 02.04.2008 в 22:14.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    У Вас раньше стоял BitDefender?

  14. #13
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    да. Окончился срок лицензии

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Пройдитесь этой утилитой и повторите лог virusinfo_syscheck.zip

  16. #15
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    Сделал, обновляю лог
    Последний раз редактировалось Lostman; 02.04.2008 в 22:14.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Теперь у Вас идеальная чистота.

    P.S.: Avast не самый лучший антивирус.

  18. #17
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    ммммммм. А про что говорил Bratez, когда говорил "Остается еще одна штуковина, которую удалим потом отдельно.".
    2. А что лучше для домашнего использования?

    Добавлено через 42 секунды

    Просто не видел свежих обзоров антивирусов на сайте. темы датированы 2005-2006 годом все
    Последний раз редактировалось Lostman; 19.01.2008 в 12:12. Причина: Добавлено

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Цитата Сообщение от Lostman Посмотреть сообщение
    ммммммм. А про что говорил Bratez, когда говорил "Остается еще одна штуковина, которую удалим потом отдельно.".
    Это мы грохнули большим скриптом.

    Добавлено через 51 секунду

    Цитата Сообщение от Lostman Посмотреть сообщение
    Просто не видел свежих обзоров антивирусов на сайте. темы датированы 2005-2006 годом все
    http://virusinfo.info/showthread.php?t=1550
    http://virusinfo.info/showpost.php?p...&postcount=130
    Последний раз редактировалось Макcим; 19.01.2008 в 12:13. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    47
    Вес репутации
    39
    И еще вопрос. в одном из постов мне говорили фиксить эту "O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll" строку, но она так и не пофиксилась

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    Это от BitDefender. Он до сих пор присутствует?

  • Уважаемый(ая) Lostman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Я опять к Вам!
      От id0000 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.03.2012, 19:09
    2. опять я с win/32
      От Georgos в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 19.06.2009, 11:00
    3. Опять((
      От Shade в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:07
    4. опять ЦП загружен на 100%. Опять вирус?
      От cosack в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.10.2008, 21:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00710 seconds with 16 queries