Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не запускается ни дефрагментация ни проверка диска (http://forum.oszone.net/showthread.php?t=125831)

basken 12-12-2008 16:59 979498
Не запускается ни дефрагментация ни проверка диска
 
Вложений: 1
Возникла похожая ситуация как у ТС в этой ветке http://forum.oszone.net/thread-114622.html - не запускается ни дефрагментация ни проверка диска.

Необходимые логи прикрепил к теме.

Помогите поправить плз.

З.Ы. AVZ скачал новую, а аHijackThis v1.99.1 - по ссылкам указаным на странице http://forum.oszone.net/thread-98169.html AVZ и аHijackThis, CureIT не грузятся!

Котяра 12-12-2008 17:18 979522
basken, попробуйте запустить дефрагментацию командой dfrg.msc. Есть ли место на диске?
Ваш компьютер заражен вирусом HideLogon.
Пофиксить в HijackThis:
Код:
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
Также похоже, что rpcc.exe - вирус. Такого файла в стандартной ОС нет. Пофиксите:
Код:
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe
Итак, Вам нужно пофиксить строки:
Код:
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe

Что значит пофиксить:
Цитата:
Если вас попросили «пофиксить в HijackThis», запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

basken 12-12-2008 17:37 979537
Цитата:
Цитата Котяра
попробуйте запустить дефрагментацию командой dfrg.msc. Есть ли место на диске? »
Не запускается, место на диске есть ~ 14 GB

Цитата:
Цитата Котяра
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe »
Пофиксил

Перезагрузил машину, проблема все еще осталась

Котяра 12-12-2008 18:08 979569
basken, а как в безопасном режиме? F8 при загрузке и выберите Safe Mode (Безопасный режим)?

Pili 12-12-2008 18:15 979574
basken, здравствуйте.

FlashGet и AskTBar (C:\Program Files\AskTBar) удалите через установку/удаление программ
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Ipis\ip_is.exe','');
 QuarantineFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE','');
 QuarantineFile('C:\WINXP\system32\cabine.dll','');
 QuarantineFile('msansspc.dll','');
 QuarantineFile('C:\WINXP\system32\rpcc.exe','');
 QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINXP\system32\USER32.dll','');
 QuarantineFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL','');
 DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
 DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINXP\system32\rpcc.exe');
 DeleteFile('msansspc.dll');
 DeleteFile('C:\ WINDOWS\system32\msansspc.dll');
 DeleteFile('C:\WINXP\system32\cabine.dll');
 DelBHO('{0AC8EAFD-3213-491B-AD20-DAF118D55AEA}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите HijackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {0AC8EAFD-3213-491B-AD20-DAF118D55AEA} - C:\WINXP\system32\cabine.dll (file missing)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

basken 12-12-2008 18:31 979588
Цитата:
Цитата Котяра
basken, а как в безопасном режиме? F8 при загрузке и выберите Safe Mode (Безопасный режим)? »
В сейфмоде так же грузится

Цитата:
Цитата Pili
AskTBar (C:\Program Files\AskTBar) »
Не хочет удалятся через установку/удаление программ - ругается, из-за того что были удалены некоторые файлы AVZ c:\program files\asktbar\bar\1.bin\asktbar.dll

В ручную удалить AskTBar, или создать пустые файлы с нужными именами и удалить через установку/удаление программ?

basken 12-12-2008 19:15 979623
Цитата:
Цитата Pili
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему »
Отправил файл на указаный ящик
Цитата:
Цитата Pili
Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, »
По первым двум ссылкам - файлы скачать нельзя, по последней скачал но не ставится... запустил exe-файл и ничего не происходит. Может есть еще место откуда можно выкачать Malwarebytes ?

basken 12-12-2008 20:18 979678
Вложений: 1
Цитата:
Цитата Pili
Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. »
Установить Malwarebytes не удалось - при запуске ехе не выполняется установка программы(не появляется никаких установочных окон) ((

Новые логи прикрепил, может по ним что то будет видно

Pili 12-12-2008 20:22 979682
basken, C:\WINXP\system32\USER32.dll - Trojan.Win32.Patched.bb по касперскому.
PAGEPR~1.EXE - здесь ушел в вирлаб на исследование., остальные в карантин не попали. C:\PROGRA~1\NETPRO~1\PAGEPR~1\ - рекомендую удалить, если файл окажется чистым, можете потом снова поставить.
С помощью AVPTool и cureit полную проверку системы проводили? Если нет - проверьте. Установочный диск имеется? Выполните восстановление системных файлов Пуск - выполнить - cmd.exe - sfc /scannow потребуется установочный диск, или по крайней мере замените user32.dll на чистый.
AskTBar надо было удалять до скрипта, как было написано в посте по порядку.
Ссылки на Malwarebytes' Anti-Malware проверил - работающие.

basken 13-12-2008 17:09 980211
Вложений: 1
Цитата:
Цитата Pili
basken, C:\WINXP\system32\USER32.dll - Trojan.Win32.Patched.bb по касперскому.
PAGEPR~1.EXE - здесь ушел в вирлаб на исследование., остальные в карантин не попали. C:\PROGRA~1\NETPRO~1\PAGEPR~1\ - рекомендую удалить, если файл окажется чистым, можете потом снова поставить.
С помощью AVPTool и cureit полную проверку системы проводили? Если нет - проверьте. Установочный диск имеется? Выполните восстановление системных файлов Пуск - выполнить - cmd.exe - sfc /scannow потребуется установочный диск, или по крайней мере замените user32.dll на чистый.
AskTBar надо было удалять до скрипта, как было написано в посте по порядку.
Ссылки на Malwarebytes' Anti-Malware проверил - работающие. »
Восстоновил системные файлы

Проверка CureIT обнаружила таких зверей.

Цитата:
tdssqawi.sys c:\winxp\system32\drivers BackDoor.Tdss.29
TDSS5ef5.tmp C:\Documents and Settings\1\Local Settings\Temp Trojan.Starter.896
TDSSkrtj.dll C:\WINXP\system32 BackDoor.Tdss.22
TDSSkvcw.dll C:\WINXP\system32 BackDoor.Tdss.29
TDSSogon.dll C:\WINXP\system32 BackDoor.Tdss.30
TDSSqcie.dll C:\WINXP\system32 BackDoor.Tdss.21

После удаления этих, файлов и перезагрузки начали нормально окрываться ссылки (ранее писал что не открываются ссылки - на Malwarebytes' Anti-Malware, AVZ, аHijackThis, CureIT - теперь стали загружаться нормально. Кстати программа Anti-Malware также установилась нормально (ранее не хотела ставится)!!!)


После проверки AVTTool, еще нашлись

Цитата:
удалено: троянская программа Trojan.Win32.Patched.dy (модификация) Файл: C:\Documents and Settings\1\DoctorWeb\Quarantine\TDSS5ef5.tmp
удалено: троянская программа Packed.Win32.Krap.d Файл: C:\Documents and Settings\1\Local Settings\Temp\TDSS5ea7.tmp

Malwarebytes' Anti-Malware нашла следующие штуки

Цитата:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\VideoAXObject.Chl (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video AX Object (Trojan.Zlob) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\bgpinit_dlls (Spyware.Agent.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.

Заражено файлов:
C:\WINXP\system32\TDSSqnsy.dll (Rootkit.Agent) -> No action taken.
C:\WINXP\system32\TDSStsrp.log (Trojan.TDSS) -> No action taken.
Новые логи прицепил.


Pili, огромное спасибо за помощь!!!!

Дефрагментация очистка диска выполняется уже нормально!


Что еще могли эти вирусы сделать кроме блокирования дефрагментации, установки некоторого софта, блокирования определенных веб-страниц? Может они "дыр" наоткрывали в системе, как проверить?

Ребята, посоветуйте какие действия еще необходимо предпринять для снижения возможного заражения машины от всякой "нечести" и повышения её безопасности - ... может порты какие то позакрывать, службы отключить там, софт поставить? Буду благодарен за реккомендации!!!

Котяра 13-12-2008 18:07 980239
Цитата:
Цитата basken
Ребята, посоветуйте какие действия еще необходимо предпринять для снижения возможного заражения машины от всякой "нечести" и повышения её безопасности - ... может порты какие то позакрывать, службы отключить там, софт поставить? Буду благодарен за реккомендации!!! »
Запустить эту программу для защиты компьютера от USB-вируса (с флешки):
http://www.techsupportforum.com/sect...isinfector.exe
При этом автозапуск сменных дисков на Вашем компьютере будет отключен.

Pili 13-12-2008 19:04 980284
basken, по логу МВАМ
Цитата:
No action taken.
т.е. вы не выбрали после сканирования "Remove Selected" (удалить выделенные)
Запустите сканирование ещё раз и удалите всё найденное.
C:\WINDOWS\System32\drivers\dwshd.sys - проверьте на virustotal.com или virscan.org, рез-ты проверки скопируйте в сообщение или дайте ссылку.

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте (Ctrl+A, Ctrlv+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь

Цитата:
Checking not performed: extended monitoring driver (AVZPM) is not installed
Запустите AVZ. В меню AVZM выберите «установить драйвер расширенного мониторинга процессов», перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

basken 17-12-2008 10:24 982728
Вложений: 1
Цитата:
Цитата Pili
C:\WINDOWS\System32\drivers\dwshd.sys - проверьте на virustotal.com или virscan.org, рез-ты проверки скопируйте в сообщение или дайте ссылку. »
Такого файла и пути на моей машине нету.

Лог файл SDFix и AVZ (с расширенным мониторингом процессов) прикрепил.

basken 17-12-2008 10:42 982755
Нашел несколько подозрительных файлов
C:\WINXP\system32\adj.j
C:\WINXP\system32\e.spa
C:\WINXP\system32\devh.e2
C:\WINXP\system32\rdxz.e

Отправил их на проверку
http://www.virustotal.com/analisis/6...d1c45634689ce1
http://www.virustotal.com/analisis/4...0ac67032cd6e84
http://www.virustotal.com/analisis/5...681f4b345d67a9
http://www.virustotal.com/analisis/6...1efb0a95522c08


Проверка показала что файлы с вирусами, подскажите как их правильно удалить?

Pili 17-12-2008 11:04 982782
basken, не хватает нового лога MBAM
Запустите Malwarebytes' Anti-Malware обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Cделайте логи ComboFix

basken 17-12-2008 18:10 983186
Log Malwarebytes' Anti-Malware

Цитата:
Malwarebytes' Anti-Malware 1.31
Версия базы данных: 1511
Windows 5.1.2600 Service Pack 2

17.12.2008 16:57:59
mbam-log-2008-12-17 (16-57-59).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 209932
Прошло времени: 56 minute(s), 44 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\utixmje3 (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\utixmje3 (Worm.Bagel) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINXP\system32\drivers\utixmje3.sys (Worm.Bagel) -> Quarantined and deleted successfully.
Pili, файлы удалить?

Цитата:
Цитата basken
Нашел несколько подозрительных файлов
C:\WINXP\system32\adj.j
C:\WINXP\system32\e.spa
C:\WINXP\system32\devh.e2
C:\WINXP\system32\rdxz.e
Отправил их на проверку
http://www.virustotal.com/analisis/6...d1c45634689ce1
http://www.virustotal.com/analisis/4...0ac67032cd6e84
http://www.virustotal.com/analisis/5...681f4b345d67a9
http://www.virustotal.com/analisis/6...1efb0a95522c08
Проверка показала что файлы с вирусами, подскажите как их правильно удалить? »

Pili, Логи ComboFix не делал так как не помню где лежит лицензия на винду - комп покупался уже с установленной, то подозреваю что могут возникнут проблемы при работе с ComboFix (требуется
Цитата:
подтверждение лицензионного соглашения
).

Pili 18-12-2008 07:59 983673
Цитата:
Цитата basken
файлы удалить? »
Удалим с помощью ComboFix, когда логи будут.
Цитата:
Цитата basken
Логи ComboFix не делал так как не помню где лежит лицензия на винду - комп покупался уже с установленной, то подозреваю что могут возникнут проблемы при работе с ComboFix (требуется подтверждение лицензионного соглашения). »
Подтверждение лицензионного соглашения связано с установкой консоли восстановления и отношения к легальности или активации windows не имеет.

basken 18-12-2008 11:32 983866
Вложений: 1
pili, Спасибо что просветили... - переживал за систему
Цитата:
Цитата Pili
Подтверждение лицензионного соглашения связано с установкой консоли восстановления и отношения к легальности или активации windows не имеет. »
Запустил ComboFix, логи прицепил

Pili 18-12-2008 13:56 984057
basken, Проверьте файлы
Цитата:
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\winxp\system32\dllcache\digiview.exe
c:\program files\Ipis\ip_is.exe
на virustotal.com, результат сообщите
82.144.192.130,82.144.192.191,82.144.192.32 - ваши DNS сервера?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
c:\winxp\system32\rdxz.e
c:\winxp\system32\devh.e2
c:\winxp\system32\e.spa
c:\winxp\system32\adj.j
c:\winxp\QTFont.qfn
c:\winxp\QTFont.for
C:\Documents and Settings\1\Local Settings\Temp\winlogon.exe

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINXP\\system32\\vsx13.exe"=-
"C:\\Documents and Settings\\1\\Local Settings\\Temp\\winlogon.exe"=-
"C:\\WINXP\\wj.exe"=-
"C:\\DOCUME~1\\1\\LOCALS~1\\Temp\\start.exe"=-
"C:\\WINXP\\system32\\msntd0.exe"=-
"D:\\AllSubmitter\\privet.exe"=-
"C:\\WINXP\\system32\\mssql0.exe"=-

FileLook::
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\winxp\system32\dllcache\digiview.exe
c:\program files\Ipis\ip_is.exe

DirLook::
c:\program files\DIFX
c:\documents and settings\1\Application Data\U3
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Сделайте новый лог Hijackthis.

basken 18-12-2008 22:11 984437
Вложений: 2
Цитата:
Цитата Pili
Проверьте файлы
Цитата:
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\winxp\system32\dllcache\digiview.exe
c:\program files\Ipis\ip_is.exe
на virustotal.com, результат сообщите »
По этим путям только один файл нашел - digiview.exe, остальные отсутствуют

Отправил его на virustotal.com - вроде чистый - http://www.virustotal.com/analisis/7...b4106f020e43d5

Цитата:
Цитата Pili
82.144.192.130,82.144.192.191,82.144.192.32 - ваши DNS сервера? »
DNS не мои


Новые логи прикрепил.

Pili, ComboFix - нужно удалять?

Pili 18-12-2008 22:49 984478
Цитата:
Цитата basken
ComboFix - нужно удалять? »
Нет, пока не надо
c:\documents and settings\1\Application Data\U3\temp\cleanup.exe
c:\program files\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DP.exe
также проверьте на virustotal.com
Цитата:
Цитата basken
DNS не мои »
Значит подменил троян, а 77.122.108.201 это вероятно ваш прокси?
Запустите HijackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB5AF56-AA92-43F9-ADF8-811DBC907FD5}: NameServer = 82.144.192.130,82.144.192.191,82.144.192.32
O8 - Extra context menu item: IpIs Расположение - C:\WINXP\system32\ie1.dll.htm
O9 - Extra button: Расположение - {A3671F3B-75EF-465d-B13C-42A8B9E4238C} - C:\Program Files\Ipis\ip_is.exe (file missing)
O9 - Extra 'Tools' menuitem: Расположение - {A3671F3B-75EF-465d-B13C-42A8B9E4238C} - C:\Program Files\Ipis\ip_is.exe (file missing)
В настройках сетевых подключений (Пуск - Панель управления - Сетевые подключения, нажмите правой кн. мыши на используемом сетевом подключении, далее - Свойства - Протокол интернета (TCP/IP) - Свойства - установите "Получать ip-адрес автоматически".
Нажмите Пуск - Выполнить - cmd.exe и далее последовательно команды
Код:
ipconfig /release
ipconfig /flushdns
ipconfig /renew
Установите тип запуска службы DNS Client на авто и перезапустите службу
Настройте параметры tcp/ip на свои (установите настройки сети, выданные провайдером) или оставьте "получать ip адрес автоматически"
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
       
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\program files\Ipis\ip_is.exe
F:\LaunchU3.exe

Folder::
c:\program files\Ipis

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18304c7c-e388-11db-a326-0013d46e49df}]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Сделайте новый лог Hijackthis.

basken 19-12-2008 00:59 984562
Вложений: 2
Цитата:
Цитата Pili
Нет, пока не надо
c:\documents and settings\1\Application Data\U3\temp\cleanup.exe
c:\program files\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DP.exe
также проверьте на virustotal.com »
c:\documents and settings\1\Application Data\U3\temp\cleanup.exe - http://www.virustotal.com/analisis/a...a923ce4973e954

c:\program files\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DP.exe - http://www.virustotal.com/analisis/6...97a4fc02271a35

Цитата:
Цитата Pili
77.122.108.201 это вероятно ваш прокси? »
Давно пользовался, на данный момент не используется - в настройках задизейблено опция подключения через прокси

Цитата:
Цитата Pili
В настройках сетевых подключений (Пуск - Панель управления - Сетевые подключения, нажмите правой кн. мыши на используемом сетевом подключении, далее - Свойства - Протокол интернета (TCP/IP) - Свойства - установите "Получать ip-адрес автоматически". »
Ничего не менял - эти опции были выставлены

Новые логи прицепил.

Pili 19-12-2008 08:01 984638
basken, в логах ничего плохого не вижу. Как себя чувствет компьютер?
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus, вложите в архив также файл C:\SDFix\backups\backups.zipи пришлите мне на user15802[at]mail.ru
Посде этого деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите Clean up

basken 19-12-2008 14:36 984942
Цитата:
Цитата Pili
basken, в логах ничего плохого не вижу. Как себя чувствет компьютер? »
Pili, Большое спасибо за помощь!!!!! Машина чувствует себя на порядок лучше, более живая и динамичная!

Архив с файлами отправил на мейл.

Pili 19-12-2008 15:14 984961
basken, спасибо за карантин :)
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection
Malware Removal and Prevention Overview
Чистого вам интернета!

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил


Время: 06:02.

Время: 06:02.
© OSzone.net 2001-