-
Junior Member
- Вес репутации
- 59
Опять меня атаковали! Хелп!
Помогите, пожалуйста, опять какой-то вирус. Каспер его находит и обещает удалить после перезагрузки, а потом по новой всё. Да и компьютер вообще едва работает, как только Каспер вирус находит, всё зависает, звука нет, перед диагностикой выгрузить Касперского не удалось, зато восстановление системы отключить получилось.. так что вот моя диагностика как есть:
Хотя вот интересно, пока шла проверка AVZ, там такие странные вещи выдавались, типа:
"Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем" - пользователь вроде ничего такого не отключал
Последний раз редактировалось cedecede; 06.05.2008 в 23:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21624
2.Пофиксить в HijackThis следующие строчки (если будут) ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Провайдер Ваш? 85.255.114.23,85.255.112.213
UkrTeleGroup Ltd.
Ukraine
Andrew Sotov
Mechnikova 58/5 65029 Odessa
phone: +380631508855
Andrew Sotov
Mechnikova 58/5 65029 Odessa
phone: +380631508855
-
Junior Member
- Вес репутации
- 59
Провайдер Ваш? 85.255.114.23,85.255.112.213
UkrTeleGroup Ltd.
Ukraine
Andrew Sotov
Mechnikova 58/5 65029 Odessa
phone: +380631508855
Andrew Sotov
Mechnikova 58/5 65029 Odessa
phone: +380631508855[/quote]
Так, а как мне проверить, мой или не мой??? Мне кажется, что не мой, т.к. у меня DNS вроде должен автоматом получаться, а тут ДНС прописаны!
Добавлено через 11 минут
Провайдер Ваш?
85.255.114.23,85.255.112.213
UkrTeleGroup Ltd.
Ukraine
Andrew Sotov
Mechnikova 58/5 65029 Odessa
phone: +380631508855
Andrew Sotov
Mechnikova 58/5 65029 Odessa
phone: +380631508855
НЕТ, это не мой провайдер! Я сейчас вручную перенастроила ДНС на то, чтоб получались автоматом, и теперь у меня мои, совершенно другие. 87.240.1.1 и 87.240.1.2, антивирус по-прежнему находит вирус, если Каспера не вырубать, не работает интернет даже... так что вирус у меня в свободном полете, антивирус отключен...
Итог: после выполнения скрипта и перезагрузки Каспер опять нашел вирус. Карантин прислала.
Добавлено через 9 минут
Т.е. у всех строчек вроде номера должны быть - а в таком виде как мне дали, я что-то не могу найти...
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
значит ли это, что их уже нет или я просто искать не умею?
Последний раз редактировалось cedecede; 17.04.2008 в 01:46.
Причина: Добавлено
-
Сделайте новые логи начиная с п.10 правил.
I am not young enough to know everything...
-
-
В карантине AfterFX.comd, avp.comd, LVPrcInj.dll, Primorun.exed, RAR.exe.bak, UnRAR.exe.bak - чистые, ntos.exed - Trojan-Spy.Win32.Zbot.bbj
-
Junior Member
- Вес репутации
- 59
Сообщение от
Bratez
логи
Вот пожалуйста:
Последний раз редактировалось cedecede; 06.05.2008 в 23:05.
-
Где именно Касперский вирус нашёл?
значит ли это, что их уже нет или я просто искать не умею?
Это значит, что АВЗ хорошо поработала.
НЕТ, это не мой провайдер!
Профиксите:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AE46998-9F18-40C8-85A6-C898ADF6CC78}: NameServer = 85.255.114.23,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E30B688-27FE-4644-A315-CE523ED6A491}: NameServer = 85.255.114.23,85.255.112.213
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.23 85.255.112.213
O17 - HKLM\System\CS2\Services\Tcpip\..\{0AE46998-9F18-40C8-85A6-C898ADF6CC78}: NameServer = 85.255.114.23,85.255.112.213
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.23 85.255.112.213
O17 - HKLM\System\CS3\Services\Tcpip\..\{0AE46998-9F18-40C8-85A6-C898ADF6CC78}: NameServer = 85.255.114.23,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.23 85.255.112.213
-
Junior Member
- Вес репутации
- 59
Сообщение от
wise-wistful
Где именно Касперский вирус нашёл?
Это значит, что АВЗ хорошо поработала.
Профиксите:
В папке system32 вот этот как раз ntos.exe, но за день до того он еще где-то находил и удалял какой-то экзешник, не помню откуда...
Так, я пофиксила. Но кстати даже и до этого у меня после удаления вируса и после того как я вручную настройки исправила, проблем вроде с ДНС не было. Теперь что, опять логи выслать?
-
-
-
Junior Member
- Вес репутации
- 59
вот, пожалуйста, новые логи
Последний раз редактировалось cedecede; 06.05.2008 в 23:05.
-
-
-
Junior Member
- Вес репутации
- 59
Спасибо! что-то еще надо делать или уже всё в порядке? Восстановление системы я на всякий случай включила...
-
Больше делать ничего не нужно. Кроме как быть поосторожней в сети.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
Junior Member
- Вес репутации
- 59
Сообщение от
wise-wistful
Больше делать ничего не нужно. Кроме как быть поосторожней в сети.
Советуем прочитать
электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Спасибо, конечно, но, по-моему, всерьез "поосторожней" быть в сети невозможно.
-
Почему, можно, ходить по сети под ограниченным пользователем - это уже большой плюс к безопасности, не ходить по сомнительным ссылкам. Как постфактум, завести средство вроде Акрониса и создавать резервные копии системы, через определённый промежуток времени.