Atos 0 Опубликовано 24 августа, 2009 Share Опубликовано 24 августа, 2009 продолжение темы что это? вирус? Завожу новую тему для перестраховки. Может я параноик, но не исключаю возможность, что хакер, получивший доступ к компьютеру, видел и запомнил название той темы, и может отслеживать её Дело в том, что в субботу после очередной перезагрузки компьютера, когда только хотел выложить новые логи в тему, при помещении курсора в поле ответа там написалось что-то вроде testtesttesttestesttesttest Можно сделать выводы, что это троян, позволяющий получить доступ к компьютеру извне. И не просто троян, а саморазмножающийся: те же симптомы (сброс настройки показа скрытых файлов), как оказалось, присутствуют как минимум ещё на одном компьютере локальной сети, а также на моём домашнем компьютере, который вообще не подключён к сетям и интернету (т.е. я принёс вирус домой на заражённой флешке) Что ещё пакостнее, эта штука неизвестно сколько времени сидит в машине, не засекаемая антивирусом... Провёл сканирование GMER в безопасном режиме. Окошек с сообщением о руткитах не появлялось. Попробовал утилитку CureIt. Тоже ничего не находит. После появления этого testtesttest я сразу же отрубил сетевой кабель. Принёс и поставил Outpost, задав жёстко блокировку соединений. Только сейчас кабель подоткнул, чтобу отправить сообщение. Надеюсь, троян не сможет каким-то образом обойти брандмауэр? GMERlog.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 24 августа, 2009 Share Опубликовано 24 августа, 2009 "testtesttesttestesttesttest" AVZ запущен был при возникновении этой записи? Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 24 августа, 2009 Автор Share Опубликовано 24 августа, 2009 (изменено) по-моему, нет. Логи к этому моменту я уже сделал. А впрочем, точно не помню Изменено 24 августа, 2009 пользователем Atos Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 24 августа, 2009 Share Опубликовано 24 августа, 2009 (изменено) Вам известен этот файл? Cmtp8pentpsi.sys Поищите его через AVZ, проверьте на вирус тотале. Не похож на легетимный. Отключите ПК от интернета и локалки, антивирус и фаервол. Выполните такой скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Cmtp8pentpsi'); QuarantineFile('Cmtp8pentpsi.sys',''); DeleteFile('Cmtp8pentpsi.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Сделайте Новые логи. Изменено 24 августа, 2009 пользователем миднайт Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 24 августа, 2009 Автор Share Опубликовано 24 августа, 2009 А что, это мог AVZ "написать"? 0_0 При сканировании он так делает. Это нормально. Фухх... Ну и утилитка. Надо же было так напугать Вам известен этот файл? Cmtp8pentpsi.sysПоищите его через AVZ, проверьте на вирус тотале. Что-то не нашёл сейчас такого файла.После выполнения скрипта карантин пуст. Сделал новые логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 24 августа, 2009 Share Опубликовано 24 августа, 2009 В файл HOSTS что-нибудь вносили ? Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 24 августа, 2009 Автор Share Опубликовано 24 августа, 2009 В последнее время - нет, а вообще на компе локальная версия сайта висит: 127.0.0.1 localhost 127.0.0.1 lid 127.0.0.1 leader.lo 127.0.0.1 2006.leader.lo 127.0.0.1 2007.leader.lo 127.0.0.1 2008.leader.lo 127.0.0.1 2009.leader.lo 127.0.0.1 demo.leader.lo 127.0.0.1 adm.leader.lo 127.0.0.1 www.leader.lo Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 августа, 2009 Share Опубликовано 24 августа, 2009 Ничего подозрительного Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 25 августа, 2009 Автор Share Опубликовано 25 августа, 2009 Однако же симптомы до сих пор наличествуют Можно ли как-нибудь отследить, какой процесс сбрасывает ключ реестра, ответственный за показ скрытых файлов? (кстати, какой это ключ?) Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 августа, 2009 Share Опубликовано 25 августа, 2009 Выполните скрипт в AVZ begin ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end. Компьютер перезагрузится. Что с показом скрытых файлов? Цитата Ссылка на сообщение Поделиться на другие сайты
Suren 51 Опубликовано 25 августа, 2009 Share Опубликовано 25 августа, 2009 (изменено) Чтобы вернуть возможность видеть скрытые файлы нужно проделать следующее: запускаем редактор реестра), ищем там ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его, ищем ключ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1, затем создаем ранее удаленный ключ со значением 1 (тип DWORD). Перезагружаемся и проверяем. Я так делал, помогло... Правда после очистки компа от всей заразы Изменено 25 августа, 2009 пользователем Suren Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 25 августа, 2009 Share Опубликовано 25 августа, 2009 thyrex итак эту проблему решил с помощью скрипта avz. Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 25 августа, 2009 Автор Share Опубликовано 25 августа, 2009 Чтобы вернуть возможность видеть скрытые файлы нужно проделать следующее: запускаем редактор реестра), ищем там ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его, ищем ключ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXp lorer\Advanced\ShowSuperHidden и меняем значение на 1, затем создаем ранее удаленный ключ со значением 1 (тип DWORD). Перезагружаемся и проверяем. Помогло! Значит, никакой это не вирус был... У меня просто нет цензурных слов по поводу винды и её "дружественного" интерфейса Молчком запрещать пользователю менять настройку, делая вид, что это разрешено... мастдайные быдлокодеры, как это на них похоже Спасибо всем, кто помогал разобраться в проблеме! Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 25 августа, 2009 Share Опубликовано 25 августа, 2009 Это могли быть последствия вируса. который удалил антивирус. Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 25 августа, 2009 Автор Share Опубликовано 25 августа, 2009 Это могли быть последствия вируса. который удалил антивирус. Наверняка так и есть, но то, что такие вот "последствия" вообще возможны, говорит о непродуманности пользовательской политики в реестре То, что поведение уже незаражённой ОС можно легко принять за действие вируса, говорит само за себя... Может, этот момент куда-нибудь в FAQ внести? а то ведь даже специалисты не сразу правильное решение подсказали... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.