Перейти к содержанию

Alexey_I

Участники
  • Публикаций

    51
  • Зарегистрирован

  • Посещение

  • Победитель дней

    1

Alexey_I стал победителем дня 4 декабря 2008

Alexey_I имел наиболее популярный контент!

Репутация

5

1 Подписчик

Информация о Alexey_I

  • Статус
    Постоялец
  1. zkalinina, сорри за задержку с ответом, был в отъезде. Брандмауэр windows включали? файл sptd.sys - проверили? winlogon.exe заменяли? SP3 и все обновления устанавливали? Скрипт OTListIt удалял только зловредный сервис от кидо и не должен был вызвать проблем. Это объясняет почему в логе ComboFix не было ничего от кидо и появилось в логе OtLisit. Combofix при запуске создает контрольные точки восстановления, поэтому вы можете загрузиться с предыдущей точки восстановления или восстановить реестр на дату до удаления сервиса kido Не рекомендую, но если хотите восстановить реестр (содержащий
  2. tdIlns.sys - Trojan-PWS.Bancos.PWN по PCTools/Sunbelt и Rootkit/Agent.LNB по Panda, ушел в вирлаб ЛК. Рекомендую включить брандмауэр windows Запустите OTListIt2.exe Под панелью Custom Scans/Fixes встваьте скрипт :OTLI PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe (Kaspersky Lab) NetSvcs: fzyufadb - :Services fzyufadb :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "9463:TCP"=- :Files :Commands [purity] [
  3. Вы скрипт сохранили как CFScript.txt.txt, в рекомендации CFScript.txt Ок, пойдем другим путем. Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите мне на user15802[at]mail.ru Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u Скачайте OTCleanIt, запустите, нажмите CleanUp! Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте тек
  4. C:\WINDOWS\System32\Drivers\sptd.sys c:\windows\system32\winlogon.exe c:\documents and settings\Пользователь\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe c:\documents and settings\Пользователь\Application Data\Sun\Java\jre1.6.0_13\lzma.dll Запакуйте с паролем infected и отправьте в вирлаб на newvirus@kaspersky.com, пароль укажите в письме, когда придет ответ, сообщите. winlogon.exe рекомендую заменить на оригинальный с лиц. дистрибутива или установите WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com Скопи
  5. В посте 24 вы упомянули, что по вирлабу чисто (и потом отредактировали пост). Очень странно, что winsetup63.exe и chgkey.vbs по VT чистые. Я советовал отправить в 2 вирлаба.
  6. Ну если Результат: 0/40 (0%) по всем файлам и чисто по вирлабу, значит ничего вредоносного в логах. Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u Запустите OTMoveIt3 и нажмите ”CleanUp!” Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
  7. Здравствуйте. C:\WINDOWS\System32\Drivers\sptd.sys - проверьте на http://www.virustotal.com/ или http://virscan.org, результаты проверки выложите в сообщение или дайте на них ссылку. Очистите временные файлы, скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте
  8. Уберите файл infected.rar из вложений. g:\windows\system32\termsrv.dll g:\windows\system32\dllcache\mstinit.exe проверьте на virustotal.com, результат сообщите G:\WINDOWS\chgkey.vbs в вирлаб отправляли? Файл вам знаком? Если нет - отправьте. ComboFix запускали до выполнения скрипта OtMoveIt? Ждем ответа из вирлаба У вас Windows XP SP2, поэтому рекомендую включить брандмауэр windows, после окончания лечения установите SP3 и все обновления.
  9. andrey_zaraza, здравствуйте. При проверке МВАМ вы выбрали Тип проверки: Быстрая, выберите полную проверку и повторите сканирование, выложите новый лог. Включите брандмауэр windows. Radmin деинсталлируйте и пофиксите O20 - AppInit_DLLs: G:\WINDOWS\system32\rserver30\newtstop.dll Total Commander Podarok Edition также деинсталлируйте. Adobe Acrobat рекомендую обновить Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое за
  10. Отключать автозапуск со съемных носителей на всех раб. станциях, устанавливать обновления и проводить проверку с помощью Kidokiller. Общие папки отключить и подключать пользователей по мере проверки, первым делом начать с проверки самого сервера.
  11. Скрипт писался по логам combofix поста 12, в логах Означает, что брандмауэр был выключен.. Лог на 2009-02-23 18:54, вы в это время проверяли состояние брандмауэра и помните, что он у вас в это время был включен?
  12. Возможно оставалась только запись в реестре, которая отображалась в логах. Файл C:\WINNT\System32\DRIVERS\CProCt2k.sys запакуйте в архив с паролем virus и отправьте на newvirus@kaspersky.com Проблема после фикса строчке в HJT должна была исчезнуть, если нет, можно будет использовать другие средства.
  13. т.к. tyrex успел со скриптом раньше, свой убрал, C:\Downloads\s.exe - можно удалить вручную Остальные рекомендации оставил (ред.). Файл C:\WINDOWS\system32\Drivers\Video3D32.sys также проверьте на http://www.virustotal.com/ или http://virscan.org/ и результат проверки выложите в сообщение или дайте на него ссылку. Скачайте, распакуйте и запустите IceSword меню Registry, найдите исправьте в ImagePath %fystemRoot%\system32\svchost.exe на %SystemRoot%\system32\svchost.exe и далее также поищите по всему реестру и исправьте. См. Как искать и удалять ключи реестра с помощью IceSwo
  14. WaNDeR, Здравствуйте. Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked". O4 - HKLM\..\Run: [runwinlogon] C:\WINNT\winlogon.exe O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\W
  15. Bob Rowsky, Здравствуйте. [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) У вас брандмауэр windows выключен, включите его и уберите в исключениях netbios порты, отключите также автозапуск со съемных носителей. Для отключения автозапуска скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDr
×
×
  • Создать...