Показано с 1 по 13 из 13.

восстановить отгрызенное (заявка № 20336)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    45
    Вес репутации
    41

    Exclamation восстановить отгрызенное

    Здравствуйте все!

    Сходила в инет, подцепила пакостника. Касперский каждую секунду выдавал сообщение о несанкционированном доступе, блокировании процесса и тп. В результате сейчас не запускается файловый антивирус и проактивная защита в Касперском и некоторые .exe файлы. Касперский при глубокой проверке (как указано в правилах форума) нашел троянца и несколько hidden.object. CureIt нашел троянца еще в одном файле. Скачала AVZ, но папка base не распаковывается -"устройство не готово" (причем на разных машинах пробовала - может, с архивом чего неладное?), поэтому этим софтом проверить компьютер не удалось. HiJackThis отработал. Высылаю его отчет. И что теперь делать? Помогите, пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    скачать авз заново , обновить и сделать логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    45
    Вес репутации
    41
    Цитата Сообщение от V_Bond Посмотреть сообщение
    скачать авз заново , обновить и сделать логи ...
    Скачала и обновила с другой машины. Пытаюсь скопировать AVZ на свою, а мне говорят:"Не удается скопировать <file_name.avz>. Устройство не готово."

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1282
    hockey.pif
    Скачайте
    http://www.megaupload.com/?d=AUGYD37C
    Это переименованный IceSword
    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файлы и если они есть - удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
    C:\WINDOWS\SYSTEM32\mp3res.dll
    C:\WINDOWS\system32\xprot.sys
    C:\WINDOWS\system32\msime82.exe

    Пофиксите в hijackthis
    Код:
    O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
    O20 - Winlogon Notify: mp3res - C:\WINDOWS\SYSTEM32\mp3res.dll
    Перезагрузите компьютер.
    После этого удалите AVZ, скачайте ее заново и попробуйте запустить и сделать логи.
    Последний раз редактировалось kps; 24.03.2008 в 14:00. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    45
    Вес репутации
    41
    Заработала!
    Логи готовы.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1282
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\SYSTEM32\mp3res.dll','');
    QuarantineFile('mp3res.dll','');
    QuarantineFile('C:\WINDOWS\system32\SFIDLOCK.DLL','');
    QuarantineFile('C:\WINDOWS\system32\xprot.sys','');
    QuarantineFile('C:\WINDOWS\system32\IASDLL.DLL','');
    DeleteFile('C:\WINDOWS\system32\xprot.sys');
    DeleteFile('mp3res.dll');
    DeleteFile('C:\WINDOWS\SYSTEM32\mp3res.dll');
    DelWinlogonNotifyByFileName('mp3res.dll');
    RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mp3res');
    BC_ImportALL;
    ExecuteSysClean;
    BC_QrSvc('xprot');
    BC_DeleteSvc('xprot');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20336 ).

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    45
    Вес репутации
    41
    При выполнении скрипта лечения AVZ аварийно закрылся. При повторном запуске выдал "Invalid pointer operation", но доработал до конца. Если эта информация полезна. Карантин выслан.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Ничего подозрительного больше не видно.
    На всякий случай пришлите по правилам файл:
    C:\WINDOWS\system32\Drivers\iqvw32.sys

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    45
    Вес репутации
    41
    Выслала.
    А то, что AVZ сообщил о массовом перехвате функций файлом ..\windows\system32\drivers\klif.sys - это нормально?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    присланный файл чистый ...
    klif.sys -от касперского - это нормально ...

  12. #11
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    45
    Вес репутации
    41
    Всем огромное спасибо!

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1282
    Для информации скажите пожалуйста, когда Вы искали (и удаляли) с помощью IceSword файлы
    C:\WINDOWS\SYSTEM32\mp3res.dll
    C:\WINDOWS\system32\xprot.sys
    C:\WINDOWS\system32\msime82.exe

    Все ли из них Вы нашли?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Natalie, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подскажите, как восстановить файлы
      От propp в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.12.2010, 04:02
    2. помогите восстановить
      От delirium41 в разделе Софт - общий
      Ответов: 4
      Последнее сообщение: 07.02.2010, 14:01
    3. как восстановить систему
      От Фарида в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.02.2009, 11:00
    4. AVG - как восстановить из карантина
      От Владимир_Ильич в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.06.2008, 07:31
    5. Помогите восстановить
      От tvvslav в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.01.2008, 16:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01041 seconds with 17 queries