Steel Rain Опубликовано 7 ноября, 2010 Поделиться Опубликовано 7 ноября, 2010 Всем доброго времени суток. Посмотрите пожалуйста логи. Нет ли зловредов. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 7 ноября, 2010 Поделиться Опубликовано 7 ноября, 2010 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\NetworkService\oshvnr.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys',''); DeleteFile('C:\Documents and Settings\NetworkService\oshvnr.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте лог GMER. Инструкция (Как сделать лог при помощи Gmer). После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Сделайте новые логи по правилам. айпи в сетевых настройках Вам знакомы? 94.101.80.2 87.241.223.68 если нет, пофиксите в HijackThis: O17 - HKLM\System\CCS\Services\Tcpip\..\{C297610A-91BF-40C5-9D3D-364D618F1704}: NameServer = 94.101.80.2,87.241.223.68 Изменено 7 ноября, 2010 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 7 ноября, 2010 Автор Поделиться Опубликовано 7 ноября, 2010 Выполнил рекомендации. Отправил архив в лабораторию. Ответа пока нет. Вот логи gmer'a и остальные. gmer.log hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 7 ноября, 2010 Поделиться Опубликовано 7 ноября, 2010 создайте в той же папке, где находится GMER со случайным именем, текстовый документ clean.txt со следующим содержимым: r6d3f20u(2).exe -del service rfjncdaep r6d3f20u(2).exe -del file "C:\WINDOWS\system32\qphjapi.dll" r6d3f20u(2).exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rfjncdaep" r6d3f20u(2).exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rfjncdaep" r6d3f20u(2).exe -reboot переименуйте документ в clean.bat. запустите. компьютер перезагрузится. После проведённого лечения рекомендуется установить следующие обновления: - установить SP3 для Windows XP - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. придёт ответ из вирлаба - сообщите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 8 ноября, 2010 Автор Поделиться Опубликовано 8 ноября, 2010 Произвел все вышеуказанные манипуляции. Выкладываю новые логи. Из вирлаба пока нет ответа. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 8 ноября, 2010 Поделиться Опубликовано 8 ноября, 2010 чисто. проверьте на virustotal.com файл C:\WINDOWS\system32\Drivers\SSPORT.sys результат сообщите Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 8 ноября, 2010 Автор Поделиться Опубликовано 8 ноября, 2010 Не нахожу этот файлик. Видимо помечен как системный. Не дает в свойствах папки включить показ системных файлов. Не подскажете где в реестре подкрутить? Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 8 ноября, 2010 Поделиться Опубликовано 8 ноября, 2010 поищите с помощью AVZ http://virusinfo.info/showthread.php?t=4567 Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 8 ноября, 2010 Автор Поделиться Опубликовано 8 ноября, 2010 (изменено) Нет, не находит. Пробовал и с полным именем и ssport.* и *sport.* по всякому в общем. На всем диске тоже искал. Ничего не находит. Изменено 8 ноября, 2010 пользователем Steel Rain Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 8 ноября, 2010 Поделиться Опубликовано 8 ноября, 2010 тогда чисто в квадрате. Ссылка на комментарий Поделиться на другие сайты Поделиться
Fedin Опубликовано 8 ноября, 2010 Поделиться Опубликовано 8 ноября, 2010 ssport.sys - Драйвер от Samsung для параллельного порта Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 8 ноября, 2010 Автор Поделиться Опубликовано 8 ноября, 2010 (изменено) Что то никак не придет ответ из вирлаба Ну дождусь, напишу. Спасибо за помощь. Все таки настораживает, что не дает установить показ системных файлов в свойствах папки... Изменено 8 ноября, 2010 пользователем Steel Rain Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти