Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   чтото подхватил (http://forum.oszone.net/showthread.php?t=109986)

Vovan27 26-06-2008 09:36 835282
чтото подхватил
 
Люди добрые нужна помощь, незнаю что но чтото неособо хорошее поймал на днях, машину сканил тремя антивирами, ну там троянчиков каких то нашел еще там чтото но это все поубивал, но две проблемки остались, гдето завис какойто маил рассыльщик, идет отправка smtp по всем направлениям в инет, пока отрубил для себя smtp на Kerio v6.4 , а вторая проблема это какая то гадость тратит мой инет трафик, что самый прикол в том же kerio показывает что идет передача больших файлов на определенный ип "Неизвестное соединение: 91.194.238.4, DNS, 21 582 KB в / 6 166 KB из" и пишет что это соединение незавершено, попытался и его отрезать для себя но непомогло, соединение как висело так и висит, за ночь трафика сьедает от 300 до 500 Мб.
Подскажите какими еще антитроянами или чем то подобным просканить систему

Pili 26-06-2008 10:02 835292
Vovan27, выложите логи по правилам

Vovan27 26-06-2008 10:43 835328
Цитата:
Цитата Pili
выложите логи по »
логи чего?

Vovan27 26-06-2008 10:45 835330
Вложений: 1
Единственное что у меня есть это скрин того что обнаружил и убил антивир, о каких еще логах идет речь?

Pili 26-06-2008 11:05 835341
Vovan27, логи AVZ, HijackThis, DSS, см. правила

Vovan27 26-06-2008 13:16 835441
Вложений: 1
Вот логи, поглядите плз

Pili 26-06-2008 13:57 835465
Vovan27, логи не те, прочитайте внимательно правила

Vovan27 26-06-2008 14:31 835483
Цитата:
Цитата Pili
логи не те, прочитайте внимательно »
всмысле не те?
Скачайте AVZ и HijackThis... я скачал и сделал как написано

Vovan27 26-06-2008 14:32 835484
Вложений: 1
а вот как написано:"Желательно также сделать дополнительные логи с помощью утилиты Deckard's System Scanner" вот и они

Pili 26-06-2008 14:43 835493
Vovan27, внимательно почитайте п. 3.2, 3.3 и 4.2
нужны ещё логи virusinfo_syscure.zip, virusinfo_syscheck.zip и сделайте лог hijackthis

Vovan27 26-06-2008 14:54 835507
Вложений: 1
Цитата:
Цитата Pili
внимательно почитайте п. 3.2 »
некогда некачал и некачаю все что связано с касперским, ну неперевариваю я его
Цитата:
Цитата Pili
3.3 »
выполнял и в прошлый раз
Цитата:
Цитата Pili
virusinfo_syscure.zip, virusinfo_syscheck.zip »
ложу сейчас, недоглядел когда упаковывал
Цитата:
Цитата Pili
сделайте лог hijackthis »
а его я кидал в первом архиве, конечно если не счем непутаю
В этом архиве сделаные с нуля все логи которые просите

Drongo 26-06-2008 15:03 835512
Vovan27,
Цитата:
Цитата Vovan27
некогда некачал и некачаю все что связано с касперским, ну неперевариваю я его »
Вы ж хотите, чтобы вам люди помогли? Странный вы человек, вам помощь предлагают, а вы "не хочу, да не буду." Раз надо, значит надо! И точка!

Vovan27 26-06-2008 15:09 835520
Цитата:
Цитата Drongo
Вы ж хотите, чтобы вам люди помогли? Странный вы человек, вам помощь предлагают, а вы "не хочу, да не буду." Раз надо, значит надо! И точка! »
ну немагу я поставить каспера, у нас неразрешено его использовать, стоит сервак симантека и на всех компах его же клиенты, а вместе с каспером они ну оч криво работают и комфликтуют, и удалить на время симантек немагу просит пароль а мне его естественно никто нескажет(стандартный неподходит), помимо симантека прогнал машину авастом.
Нельзя ли пропустить етот пункт???

Pili 26-06-2008 16:22 835588
Vovan27, Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall (в SpybotSD выключите TeaTimer)
Внимание, скрипт удаляет также файл antiwpa.dll
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('ethsstjp', 4);
 SetServiceStart('Google Online Services', 4);
 QuarantineFile('c:\windows\system32\msgsys.exe','');
 QuarantineFile('C:\PROGRA~1\Institute of Informational Technologies\Certificate Authority-1\End User\EUShellMenu.dll','');
 QuarantineFile('antiwpa.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\TMETER.sys','');
 QuarantineFile('D:\Download\память\filemon_4[1].12\FILEMON.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ethsstjp.sys','');
 QuarantineFile('C:\Program Files\Rohos\ntserv.exe','');
 QuarantineFile('C:\123\oms0811\oms.exe','');
 QuarantineFile('C:\WINDOWS\system32\ams_ii\iao.exe','');
 QuarantineFile('C:\WINDOWS\system32\ams_ii\hndlrsvc.exe','');
 QuarantineFile('K:\ie_updates3r.exe','');
 QuarantineFile('G:\oufddh.exe','');
 DeleteFile('G:\oufddh.exe');
 DeleteService('Google Online Services');
 DeleteService('ethsstjp');
 DeleteFile('K:\ie_updates3r.exe');
 DeleteFile('antiwpa.dll');
 DeleteFile('C:\WINDOWS\system32\antiwpa.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\ethsstjp.sys');
 DelWinlogonNotifyByFileName('antiwpa.dll');
 DelBHO('{DB5825EA-B434-C69E-8E2D-81387140521A}');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ethsstjp.sys');
 BC_DeleteSvc('ethsstjp');
 BC_DeleteSvc('Google Online Services');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
сохраните текст ниже как fix.reg и примените
Код:
REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95c06808-2016-11dd-9571-001a9231dae3}]
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Повторите логи virusinfo_syscheck.zip и hijackthis

Для инф-ии AVPTool и cureit это просто утилиты без резидентного монитора (по принципу: проверил-удалил), поэтому конфликтовать с существующими антивирусами не должны.

Vovan27 27-06-2008 15:37 836396
Pili, пасибо за помощь, но к сожелнию после выполнения скрипта винда умерла совсем, доходит до ввода пароля и ребутается, так что сеня снес и поставил по новой, хотя очень зотелось бы разобраться, так как вдруг еще раз такое выскочит

Pili 27-06-2008 16:02 836420
Vovan27, скриптом удалялись только зловредные файлы, было предупреждение про antiwpa.dll (зловред), а windows SP3 у вас была не лиц., соответственно возникла проблема с активацией. Рекомендую использовать лиц. версию windows ->Лицензирование продуктов Microsoft.
Для предотвращения заражения в будущем, рекомендую не работать с правами администратора,использовать обозреватели Opera или Firefox c плагином NoScript. Советую также прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"


Время: 09:52.

Время: 09:52.
© OSzone.net 2001-