Показано с 1 по 19 из 19.

Помогите уже все перепробывал! (заявка № 48567)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54

    Thumbs up Помогите уже все перепробывал!

    Завелась какаято гадость NOD 32 распознает ее как Win32/TrojanDownloader.Wigon.BS троян сканировал и глубоким и локальным анализм ...ничего не помагло вирус не определяется.Вирус создает сам файлы C:\WINDOWS\sistem32\drivers\port135sik.sis (и аналогичные)Когда интернет не подключен то все вроде ок стоит только кабель воткнуть и сразу начинается....Сканировал всем чем можно ничего не помогает и нодом и скриптами выложенных в аналогичных темах....я немного не силен в этом деле( Помогите!!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    ужас как с ним справится?(((

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     DeleteService('nicsk32');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('ati64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('acpi32');
     TerminateProcessByName('c:\documents and settings\Людмила\Людмила.exe');
     QuarantineFile('c:\documents and settings\Людмила\Людмила.exe','');
     DeleteFile('c:\documents and settings\Людмила\Людмила.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48567
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    вроде все сделал..пожалуйста проверьте логи еще раз!!!!...карантин загрузил
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    ...извините не запаролил архив(

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Если делали через AVZ, то паролить не надо.

    Добавлено через 2 минуты

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('netsik');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить станд. скрипт №2. Лог прислать.
    Последний раз редактировалось PavelA; 23.06.2009 в 19:53. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    все сделал вот логи
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    Добрый день павел.Подскажите чтото еще надо мне делать?

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вот с этим разберитесь:
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    После лечения хотелось-бы получить от Вас
    http://virusinfo.info/showthread.php?t=3519 (первое сообщение темы).
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    Павел а каким образом разобраться? ну не силен я в этом(

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Компьютер в локальной сети?
    Выполнить скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.
    Если что-то не будет работать, то вернем настройки назад.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    Да компьютер в локальной сети,этаже сеть обеспечивает и доступ к интернету.Хорошо я вечером выполню скрипт,логи надо будет делать?

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    Павел и еще вопрос,можете мне как "чайнику" обьяснить вкратце что это означает (по поводу с этим разберитесь)

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    http://virusinfo.info/showthread.php?t=30339 - вот это почитай.
    А на сайте oszone.net есть статья про все службы, какая что делает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    Павел все сделал как вы написали скрипт выполнил пока существенных изменений в работе после исполнения скрипта не заметил.Вирус вроде не атакует))))архив загрузил как вы и просили из папки LOG вот ссылка
    Файл сохранён как 090624_232531_virusinfo_files_COMPIK_4a427dab1dd55 .zip
    Размер файла 1129249
    MD5 a9d9db89e511e88178b94495c548a2ac
    __________________________________________________ ________________________
    думаю теперь у меня уже все в порядке?

    Добавлено через 11 часов 6 минут

    Добрый день Павел!Хотелось бы услышать ваш "приговор")
    Последний раз редактировалось dima2009; 25.06.2009 в 10:40. Причина: Добавлено

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Да, мы Вас выписываем из лечебницы. До новых встреч!
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    23.06.2009
    Сообщений
    20
    Вес репутации
    54
    Павел Респект Вам и этому форуму!Очень Вам благодарен...хорошо что вас нашел!!!)))
    ....щас полезу в кипер кину на вебмани на такое дело нежалко.Удачи Вам!!!Еще раз СПАСИБО!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\людмила\людмила.exe - Trojan.Win32.Rabbit.iu


  • Уважаемый(ая) dima2009, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 23.02.2012, 18:58
    2. Ответов: 2
      Последнее сообщение: 22.02.2012, 15:27
    3. Ответов: 1
      Последнее сообщение: 03.08.2011, 06:00
    4. Winlogon 50% , перепробывал всё...
      От Banehallow в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.12.2010, 23:08
    5. Очень прошу помочь , перепробывал уже всё
      От nookla в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.01.2010, 13:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01224 seconds with 20 queries