Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не открываются некоторые сайты (http://forum.oszone.net/showthread.php?t=193633)

FaXeR 11-12-2010 11:59 1563181
Не открываются некоторые сайты
 
Вложений: 1
Ситуация следующая:
стоит сервер, который раздает интернет, к нему подключены 3 компа.
1. МАС
2. ХР
3. ХР
у всех настройки одинаковые.
но у третьей машины не открываются некоторые сайты, тестирую на google.ru
стоял нод32, я его убрал
проверил drwebcureit'ом - чисто
почистил ccleaner'ом
hosts - чист
вот логи:

goredey 11-12-2010 16:08 1563315
FaXeR, привет.

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

FaXeR 11-12-2010 19:07 1563408
Вложений: 1
вот

goredey 11-12-2010 19:22 1563427
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service adeczfe
gmer.exe -del service bpdrwua
gmer.exe -del service ekgbop
gmer.exe -del service hxfha
gmer.exe -del service madlb
gmer.exe -del service mlsuf
gmer.exe -del service rqoxtvgw
gmer.exe -del service srzzhwcf
gmer.exe -del service xqiuasst
gmer.exe -del service ygdbzs
gmer.exe -del file "C:\WINNT\system32\fwbmkpa.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ygdbzs"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xqiuasst"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srzzhwcf"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rqoxtvgw"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlsuf"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\madlb"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hxfha"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ekgbop"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bpdrwua"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\adeczfe"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ygdbzs"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xqiuasst"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\srzzhwcf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rqoxtvgw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\mlsuf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\madlb"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hxfha"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ekgbop"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bpdrwua"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\adeczfe"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

А также


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

FaXeR 11-12-2010 19:25 1563429
скажите пожалуйста что эти строки сделают??? вкратце

goredey 11-12-2010 19:36 1563436
FaXeR, данными строками мы убираем зловредов из вашей ситемы))) У вас KIDO

FaXeR 12-12-2010 11:16 1563842
Вложений: 2
BOT

goredey 12-12-2010 11:36 1563859
FaXeR, удалити в МВАМ следующие строки
Код:
HKEY_CLASSES_ROOT\CLSID\{8E8E8F8A-8FCC-88CE-BCB8-B8FD8E88888A}
c:\documents and settings\llk.rmgelato.000\local settings\Temp\ir_ext_temp_0\AutoPlay\Docs\nod32view.exe
c:\documents and settings\llk.rmgelato.000\local settings\Temp\0\svchost.exe
Что с проблемами?
Так как у вас было заражение KIDO неоходимо закрыть уязвимости, установив эти обновления
1)MS08-067
2)MS08-068
3)MS09-001

Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности

FaXeR 12-12-2010 12:11 1563897
проблема НЕ решена, обновления даже не могу скачать - не открывается
пароль поставил сложный

goredey 12-12-2010 12:25 1563904
давайте попробуем вот так
Цитата:Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Arbitr 12-12-2010 13:19 1563933
пока выполняется лог комбо след вопрос.
скажите какие конкретно сайты у вас не открываются?
в обязательном порядке скачать и установить explorer8

FaXeR 12-12-2010 20:49 1564307
Вложений: 1
Конретно не могу сказать какие сайты не открываются точно. Знаю что начальница ругается что не работает.
100% не заходит на гугл.ру

это лог с комбо

thyrex 12-12-2010 22:29 1564397
Цитата:
c:\winnt\system32\proquota.exe . . . is missing!!
c:\winnt\System32\srsvc.dll ... is missing !!
c:\winnt\System32\wscntfy.exe ... is missing !!
c:\winnt\System32\regsvc.dll ... is missing !!
c:\winnt\System32\schedsvc.dll ... is missing !!
Восстановите файлы с дистрибутива http://virusinfo.info/showthread.php?t=51654

Цитата:
c:\winnt\regedit.exe . . . is infected!!
c:\winnt\system32\srsvc.dll . . . is infected!!
проверьте на virustotal
Ссылки на результат проверки сообщите

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::
madlb
bpdrwua
xqiuasst
rqoxtvgw
ekgbop
srzzhwcf
ygdbzs
adeczfe
mlsuf
hxfha

NetSvc::
madlb
bpdrwua
xqiuasst
rqoxtvgw
ekgbop
srzzhwcf
ygdbzs
adeczfe
mlsuf
hxfha

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

FaXeR 13-12-2010 13:29 1564750
Вложений: 2
файлы восстановить пока нет возможности, а остальное сделал.
длл файла нету

goredey 13-12-2010 20:18 1565047
Выполните такой скрипт, котрый отключает автозапуск с сетевых дисков. Также отключите комп от сетевых ресурсов.

Цитата:Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::
madlb
bpdrwua
xqiuasst
rqoxtvgw
ekgbop
srzzhwcf
ygdbzs
adeczfe
mlsuf
hxfha

NetSvc::
madlb
bpdrwua
xqiuasst
rqoxtvgw
ekgbop
srzzhwcf
ygdbzs
adeczfe
mlsuf
hxfha


Folder::


Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoDriveTypeAutoRun=dword:00000012



FileLook::

DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

FaXeR 14-12-2010 00:41 1565237
Цитата: Выполните такой скрипт, котрый отключает автозапуск с сетевых дисков
Какой скрипт, как - не умею

goredey 14-12-2010 00:51 1565243
FaXeR, данный скрипт перед вами в посте 15)

FaXeR 16-12-2010 07:22 1566954
Вложений: 1
вот сделал

FaXeR 16-12-2010 07:24 1566955
Вложений: 1
еще

zirreX 16-12-2010 13:57 1567206
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\winnt\system32\fwbmkpa.dll

Driver::
usaje
vwhlja

NetSvc::
vwhlja

Folder::


Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9848:TCP"=-

FileLook::

DirLook::

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Цитата:
Цитата goredey
1)MS08-067
2)MS08-068
3)MS09-001 »
Установили патчи?

FaXeR 20-12-2010 09:31 1570164
обновления не могу установить, не выходит на сервер обновлений майкрософт

goredey 20-12-2010 10:07 1570192
FaXeR, вы выполнили скрипт из поста № 20 ?
Если да, то приложите отчет.
Цитата:
Цитата FaXeR
не выходит на сервер обновлений майкрософт »
Проверте влючено ли у вас автоматическое обновление?

Код:
Нажмите кнопку Пуск и выберите Панель управления.
В зависимости от используемого вида панели управления (классического или по категориям) выполните одно из следующих действий.
Щелкните пункт Система и перейдите на вкладку Автоматическое обновление.
Щелкните пункт Производительность и обслуживание, выберите пункт Система и затем перейдите на вкладку Автоматическое обновление.
Выберите необходимый параметр. Убедитесь, что функция "Автоматическое обновление" включена.

FaXeR 20-12-2010 14:00 1570406
Вложений: 1
NEW LOG

goredey 22-12-2010 23:17 1572424
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>virusnet.info с указанием в теме письма ссылки на тему. (at=@)
Деинсталлируйте ComboFix:нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Время: 15:31.

Время: 15:31.
© OSzone.net 2001-