Добрый день! Не хочу убивать систему, что-то рвется в сеть, как только появляется связь.Надеюсь поможете.
Добрый день! Не хочу убивать систему, что-то рвется в сеть, как только появляется связь.Надеюсь поможете.
Добрый день.
Выполните скрипт в AVZ
После перезагрузки "пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\SystemRoot\System32\Drivers\StarOpen.SYS',''); QuarantineFile('C:\WINDOWS\system32\fbctrl.cpl',''); QuarantineFile('C:\WINDOWS\system32\Pmxusb.cpl',''); QuarantineFile('C:\WINDOWS\csrss.exe',''); QuarantineFile('C:\DOCUME~1\ser\LOCALS~1\Temp\DELDIR0.EXE',''); DeleteFile('C:\WINDOWS\csrss.exe'); BC_ImportALL; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.Пришлите файлы карантина по правилам раздела "Помогите".Код:O2 - BHO: Owlforce - {37E1A9E5-00D4-4203-8E58-B91F383A3809} - (no file) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.
@serhiy У Вас был ПИНЧ. Надо менять все пароли: кошельки, почту и пр..
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вдогонку, выполните, пожалуйста, следующий скрипт:Система будет перезагружена. После перезагрузки, загрузите содержимое карантина по ссылке http://virusinfo.info/upload_virus.php?tid=9540 , как написано в прил.3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\1028p.exe',''); BC_QrSvc('SharedAccesscisvc'); BC_Activate; RebootWindows(true); end.
PavelA, во-первых нет 100% гарантии что csrss.exe - пинч, так как ответ из вир. лаба ещё не пришел, а во-вторых нет ни какой информации о том, что троян удалился. Следовательно пароли пока лучше не трогать.
Последний раз редактировалось Макcим; 07.05.2007 в 20:00.
Не все пинчи самоудаляются, некоторые с кейлогером и шлют отчеты регулярно. Если пароли ценные (ася и т.д.) можно и сейчас поменять, а после лечения еще раз.
В любом случае спасибо Всем за помощь! Данная гадость появилась как только связался с ip телефонией, начал искать возможности оплаты и т.д.Сейчас пользуюсь чистым компом, в сеть зараженным не выхожу. Больше всего беспокоит, что не одна программа не могла остановить эту заразу, outpost просто зависал потом плювался ошибкой днс адресса, касперским можно только полностью заблокировать трафик, антивирусы и антитрояны молчали - теперь соответственно вопрос - как и чем оптимизировать систему, чтобы деньги не сожрало? все манипуляции провел, отправляю...
Пинча мы прибили, по остальным файлам результат анализа ещё не пришел. Теперь как можно скорее меняйте все пароли.
В логах его не видно. Может он лежит на диске, но в данный момент не запущен. И похоже у Вас было два пинча. Подумайте, где Вы могли его получить? Если будут варианты в виде ссылок на веб сайты, то пишите мне в личку.
C:\WINDOWS\system32\1028p.exe - Backdoor.Win32.IRCBot.abc (по классификации Касперского). Запрошенные файлы пришли не все. Давайте попробуем так: AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, загрузите содержимое карантина AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=9540 и сделайте новые логи, начиная с п. 10 правилКод:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('StarOpen.sys',''); QuarantineFile('C:\WINDOWS\system32\fbctrl.cpl',''); QuarantineFile('C:\WINDOWS\system32\Pmxusb.cpl',''); QuarantineFile('\SystemRoot\System32\Drivers\StarOpen.SYS',''); StopService('SharedAccesscisvc'); DeleteService('SharedAccesscisvc', true); DeleteFile('C:\WINDOWS\system32\1028p.exe'); BC_DeleteSvc('SharedAccesscisvc'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
К сожалению, я почистил журнал посещений, врядли смогу точно указать где заразился, - я искал на яндексе возможнось оплаты монейбук из Украины, на одной из читаемых страниц что-то подцепил. p.s.кстати, у меня система после манипуляций не перегружается, только в ручную-это нормально?
Последний раз редактировалось serhiy; 08.05.2007 в 12:30.
Как не перезагружается?p.s.кстати, у меня система после манипуляций не перегружается, только в ручную-это нормально?
Заражение осталось. Подождите, сейчас напишу скрипт.
Пока так:
Пришлите карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\ser\LOCALS~1\Temp\DELDIR0.EXE',''); QuarantineFile('\SystemRoot\System32\DRIVERS\tcpip.sys',''); DeleteFile('C:\DOCUME~1\ser\LOCALS~1\Temp\DELDIR0.EXE'); BC_DeleteFile('C:\DOCUME~1\ser\LOCALS~1\Temp\DELDIR0.EXE'); StopService('WmiClipSrv'); DeleteService('WmiClipSrv', true); BC_DeleteSvc('WmiClipSrv'); ClearHostsFile; BC_Importall; BC_Activate; RebootWindows(true); end.
Пофиксите:
при фиксации 023 причитайте как правильно фиксить подобное.O4 - HKLM\..\RunOnce: [DELDIR0.EXE] "C:\DOCUME~1\ser\LOCALS~1\Temp\DELDIR0.EXE" "C:\Program Files\McAfee\McAfee Shared Components\Guardian\"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O23 - Service: Расширения драйверов WMI (Windows Management Instrumentation) WmiClipSrv (WmiClipSrv) - Unknown owner - C:\WINDOWS\system32\advapi32n.exe
Последний раз редактировалось Alex_Goodwin; 08.05.2007 в 13:33.
не выполняет, пишет процес вроде как в работе, нужно выключить - а как его выключить???p.s. перезагрузку после первой манипуляции всеравно в ручнуюпри фиксации 023 причитайте как правильно фиксить подобное.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Пуск -- Выполнить --
cmd
sc stop WmiClipSrv
sc delete WmiClipSrv
Либо через "Панель управления" -- "Администрирование" -- "Службы"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) serhiy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.