Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Что за вирь?

Ответить
Настройки темы
Что за вирь?

Аватара для NordWest

Старожил


Сообщения: 280
Благодарности: 1


Конфигурация

Профиль | Отправить PM | Цитировать


Где-то словил вирус на флешку, а может и в инете, хз. Началось с того, что Outpost обнаружил исходящее соединение от процесса svchost.exe, который был запущен под пользователем и из папки Documents And Settings\...\Local Settings\. Я его заблокировал, потом попробовал SAV 10 проверить, но не удалось, антивирус начал глючить и отказываться сначала от проверки, а потом и вообще вылезать из трея. Тогда просто удалил файлы svchost.exe и svchost.sys, кажется, из этой папки. Но ничего не закончилось.

Дальше упал весь TCP-IP, т.е. вся последовательность служб, которая, оказывается, базируется на слетевшем драйвере AFD. Но это после пары перезагрузок восстановилось. Проверки AVZ, SAV и ad-aware существенно ситуацию не изменили, всё вроде бы работает, но где-то что-то сидит. А на последок ещё и не получается почту отправлять батом, хотя получать нормально выходит. После отправки письмо долго проверяется SAV'ом и пишется, что смтп сервер не доступен.

Такие вот дела тварятся. Недавно по работе комп от вируса восстанавливал, так симптомы те же. Там я винду переустановил, вроде всё работало, но письма тоже не отправлялись. У себя теперь не хочется переустанавливать винду, хотелось бы понять, что за зверь и как его завалить. Помогите плз!

Отправлено: 10:23, 05-07-2007

 

Ветеран


Сообщения: 3487
Благодарности: 506

Профиль | Сайт | Отправить PM | Цитировать


Для начала скачай http://www.trendsecure.com/portal/en...ackThis_v2.exe , сделай лог и выкладывай здесь.
Удавим гада.

Отправлено: 12:00, 05-07-2007 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Greyman

Человек


Сообщения: 3311
Благодарности: 102

Профиль | Отправить PM | Цитировать


NordWest
Цитата:
Проверки AVZ, SAV и ad-aware существенно ситуацию не изменили, всё вроде бы работает, но где-то что-то сидит.
Почему осталось предположение о том, что "где-то что-то сидит", что на это указывает? Что дала проверка AVZ (база надеюсь была обновленная)? Броверка была в режиме AVZGuard, AVZPM установлен? Перехватов системных вызовов не обнаружено (красные строки)?

Цитата:
После отправки письмо долго проверяется SAV'ом и пишется, что смтп сервер не доступен.
А при отключенном SAV что происходит? Попробуй еще глянуть эту тему:
потерял возможность браузинга

-------
Будь проще...


Отправлено: 12:16, 05-07-2007 | #3


Аватара для NordWest

Старожил


Сообщения: 280
Благодарности: 1

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt hijackthis.txt
(10.3 Kb, 3 просмотров)

Hijack сделал, лог прикрепил.

Хз, что указывает на присутствие вируса, интуитивно ощущаю, что что-то не так, глюки мелкие всякие, нетипичные.

AVZ использовал без прибамбасов. С ними не очень получилось: AVZGuard включил, а вот драйвер для AVZPM не проставился. Паралельно с этим и AFD как раз вылетал.

САВ вырубить так и не удалось, попробую ещё удалить его попозже, а так не даётся, в трее письмо с лупой высвечивает.

Ещё среди запущенных процессов какие-то подозрительные твари есть, запущенные от пользователя: Amoumain.exe, Application Launcher.exe... [Хм, отрудил их, колёсико не крутится... Значит одна из них програмка мышиная.]

Что по логу хайджека?

Последний раз редактировалось NordWest, 05-07-2007 в 20:36.


Отправлено: 19:51, 05-07-2007 | #4


Ветеран


Сообщения: 3487
Благодарности: 506

Профиль | Сайт | Отправить PM | Цитировать


Цитата:
Что по логу хайджека?
1. Отметь в Hijack галочкой и нажми Fix cheked эти параметры.

O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
O4 - HKLM\..\Run: [Service Host] C:\DOCADN~1\Drey\LOCALS~1\Temp\svchost.exe
O4 - HKLM\..\Run: [MSsupport] C:\windows\msrtmon.exe

2. Скачай эту утилиту http://www.atribune.org/ccount/click.php?id=1
Отметь галочкой Windows Temp, All Users Temp, Current User Temp, Java Cache.
Потом Empty Selected.
Перегружайся.

3. Скачай и проверь системный раздел этим сканером ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe (лучше в безопасном режиме, а затем в рабочем)

После всего присылай опять отчет Hijack.

4. Делай все по порядку, как написано (только скачай все заблаговременно)

Возможно вылечишься, в противном случае призовем на помощь исследователь системы AVZ.

Последний раз редактировалось Severny, 05-07-2007 в 22:24.

Это сообщение посчитали полезным следующие участники:

Отправлено: 20:00, 05-07-2007 | #5


Аватара для NordWest

Старожил


Сообщения: 280
Благодарности: 1

Профиль | Отправить PM | Цитировать


Ну что, письма пошли! Спасибо Severny! Будет теперь метод лечения поинтереснее простой проверки антивирусом.

Сейчас пункт 3 на ночь постевлю с полной проверкой. Быстрая ничего не нашла. И нужно будет ещё флешку как-то проверить.

Ну и какой вообще вывод? Мой САВ пропустил вирус и не даёт полной защиты? Т.е. это может повториться оч скоро. Или раз на раз?

П.С. Да и вообще, что это было?

Отправлено: 22:59, 05-07-2007 | #6


Ветеран


Сообщения: 3487
Благодарности: 506

Профиль | Сайт | Отправить PM | Цитировать


1. Тебе надо прислать повторный отчет Hijack. То что пошли письма нет уверенности в излечении.
2. Что было -- не знаю . Зараза -- она и есть зараза
Письма скорее всего не шли, потому что это был наверное спамбот ( с тебя рассылали спам). Может мы разрушили локальный smtp-сервер.
3. http://slil.ru/24593848 Скачай эту утилитку и заодно проверь флешку и комп. Она лечит вирус, который на флешках любит селиться.
4. Я бы ставил антивирусы отечественного пр-ва, ну в крайнем случае чешский NOD32 (только он лечить не умеет )

Последний раз редактировалось Severny, 06-07-2007 в 00:33.


Отправлено: 23:14, 05-07-2007 | #7


Аватара для NordWest

Старожил


Сообщения: 280
Благодарности: 1

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt hijackthis.txt
(9.9 Kb, 1 просмотров)

Просканировал CureIt, проде бы ничего не нашел.

Вот лог ХайДжека теперь.

Отправлено: 08:09, 06-07-2007 | #8


Ветеран


Сообщения: 3487
Благодарности: 506

Профиль | Сайт | Отправить PM | Цитировать


Вроде чисто.
Вот за что не люблю Symantek -- вгрызается везде, служб и процессов у него куча, удалить по человечески не получается без Norton Remover,
отсылает к себе на сервак непонятно какую информацию, а толку от него не так уж и много. Не стал бы я его себе ставить.

-------
Просьба обращаться на "ты".


Отправлено: 10:51, 06-07-2007 | #9


Аватара для NordWest

Старожил


Сообщения: 280
Благодарности: 1

Профиль | Отправить PM | Цитировать


Ясно, спасибо!

Отправлено: 10:23, 07-07-2007 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Что за вирь?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Router - что то я совсем запутался... подскажите что мне нужно? роутеры, маршрутизаторы... nafnaf Хочу все знать 29 16-05-2010 21:32
[решено] Что с ноутбуком? - сдохла видеокарта, что то с биос или еще что? Sany077 Непонятные проблемы с Железом 5 22-01-2010 15:38
Поймали вирь... и почти выличили!!! помогите долечить!!! kind_shubin Лечение систем от вредоносных программ 3 23-10-2009 20:32
какойто вирь начудил! Drem Microsoft Windows 2000/XP 3 29-06-2006 13:53
Виснет w2k в инете, что за вирь? Lara Защита компьютерных систем 9 12-04-2004 10:41




 
Переход