shilo15243 0 Опубликовано 19 октября, 2009 Share Опубликовано 19 октября, 2009 Здравствуйте! Наболевшая тема(по крайней мере для меня) Вот логи с сервера(Речь о которых была в теме http://forum.kasperskyclub.ru/index.php?showtopic=12369). Нынешние симптомы - постоянно пропадает сетевой дик(когда пытаешься на него зайти, комп виснет намертво и чаще всего даже никакой ошибки не выдаёт, хотя сеть работает, интернет есть, терминальные подключения фунциклируют), тормозит сеть. Спасаюсь перезагрузкой сервера.... мерзко даже самому... Логи созданны по образцу http://forum.kasperskyclub.ru/index.php?showtopic=1698 virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 октября, 2009 Share Опубликовано 19 октября, 2009 KK не сработал? Цитата Ссылка на сообщение Поделиться на другие сайты
shilo15243 0 Опубликовано 20 октября, 2009 Автор Share Опубликовано 20 октября, 2009 KK не сработал КК был твёрдо убеждён(и по сей день так думает), что сервер полностью чист, в то время как на нём водился тот самый Net-Worm.Win32.Kido.ir, так что доверия больше нет. Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 20 октября, 2009 Share Опубликовано 20 октября, 2009 Заплатки на сервер установите. КК должен был сработать (видимо кидо прилетел на машину из сети после работы КК). Не пойму что у вас с системой. Драйвера в одном месте, система в другом. В АВЗ выполните скрипт (скрипт отключает автозапуск): begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\Documents and Settings\Admin\WINDOWS\system32\smss.exe',''); RebootWindows(true); end. После перезагрузки begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Ответ из вирлаба напишите тут. Цитата Ссылка на сообщение Поделиться на другие сайты
shilo15243 0 Опубликовано 20 октября, 2009 Автор Share Опубликовано 20 октября, 2009 Заплатки на сервер установите. Установлены уже давно заплатки, рекомендованные в статье о борьбе с Кидо, более того... установил Эксплорер8 и обновил на сайте майкросовта всю систему(как я понял произвёлся мониторинг моих недостоющих патчей, после чего они были установлены(а ж 46штук)) (видимо кидо прилетел на машину из сети после работы КК) На момент работы КК, Кидо уже был в системе, т.к. после КК я проверил ещё и касперским, который нашёл в общей папке(она же сетевой дик) авторун Net-Worm.Win32.Kido.ir и соответствующий файл в папке RECYKLER, но странно почемуто ничего не обнаружил в system32! Драйвера в одном месте, система в другом Пожалуйста, объясните что это значит, я не совсем понял..... В АВЗ выполните скрипт (скрипт отключает автозапуск): Автозагрузку уже давно выключил с помощью спец. скрипта(гдето в инете нашёл) и лишний раз это сделал запустив КК -а с указанием пароля password"virus в теле письма"? указать просто в тексте письма? Скрипты выполню в конце раб. дня, результат выложу Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 20 октября, 2009 Share Опубликовано 20 октября, 2009 (изменено) миднайт, для сервера это нормально. shilo15243, на сервере важен автозапуск со съемных носителей? (у вас его отключили) Ознакомьтесь и выполните рекомендации Если не поможет будем в полный рост лечить. Включите востановление системы ... (подробнее) Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Необходимо установить Recovery Console по инструкции - Руководство по применению: Скачайте установочный файл для своей ОС и сохраните на рабочий стол. Windows XP Professional с пакетом обновления 2 (SP2) Windows XP Home Edition с пакетом обновления 2 (SP2) Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2 Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы. Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. 2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix - Руководство по применению Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Изменено 20 октября, 2009 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
shilo15243 0 Опубликовано 23 октября, 2009 Автор Share Опубликовано 23 октября, 2009 Если не поможет будем в полный рост лечить В поисках решения своей проблемы перелопатил весь гугл и прочитал милион рекомендаций по лечению с помощью КК(установи заплатки, выключи автозапуск, отключи восстановление системы и так далее ещё пунктов 20... вобщем кто на что горазд... ). Но так как КК мой вирус не видит(а симптомы присутствуют)... надо видимо искать/сносить руками... По этой ссылке: Ознакомьтесь и выполните рекомендации Нашёл вот эту *Инструкция от volk1234 http://virusnet.info/forum/showpost.php?p=...amp;postcount=3 где на редкость понятным языком(а человек я совершенно неопытный) даны рекомендации по удалению руками... тем не менее возникли следующие вопросы: 1. Цитата: ____________________________________________________ Определение заражения: Лезем в реестр и проверяем параметр netsvcs в ветке Code: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns) ____________________________________________________ что значит "Можно посмотреть в остнастке службы"? каким образом можно вычислить ВРАЖЕСКУЮ службу с помощью autoruns? Цитата __________________________________________________________ Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в Code: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services + удалив указанную в соответстующей вирусу ветке dll-ку. ___________________________________________________________ "и убив саму службу в..." каким образом? просто снести папку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ <имя службы, которая найдена в параметре netsvcs в ветке ...\CurrentVersion\SvcHost и якобы является злокачественной > ? "удалив указанную в соответстующей вирусу ветке dll-ку" её(соответствующую dll-ку) как найти? //извините конечно за тупые вопросы)))) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.