sdf Опубликовано 26 декабря, 2008 Поделиться Опубликовано 26 декабря, 2008 (изменено) Вечер добрый. Последние пару дней замечал за ноутбуком странное поведение, то как блокировка диспетчера задач, исходящие подключения на 192.168.0.1-255 на 455 порт и KIS7 при попытке обновления выдает что сервера обновлений не доступны, хотя пинг идет по всем направлениям. Сейчас все тихо, но KIS временами ругается на С:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE (Win32.DsBot.vd) и тому подобное... Прилагаю логи. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip hijackthis.log загружаться не хочет;( могу скопипастить сюда, текстом. Изменено 26 декабря, 2008 пользователем sdf Ссылка на комментарий Поделиться на другие сайты Поделиться
Kapral Опубликовано 26 декабря, 2008 Поделиться Опубликовано 26 декабря, 2008 Заархививируйте hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
sdf Опубликовано 26 декабря, 2008 Автор Поделиться Опубликовано 26 декабря, 2008 Заархививируйте hijackthis.log Залил. Ссылка на комментарий Поделиться на другие сайты Поделиться
Kapral Опубликовано 26 декабря, 2008 Поделиться Опубликовано 26 декабря, 2008 Подождите , когда прийдут люди, которые специализируются на лечении компов Ссылка на комментарий Поделиться на другие сайты Поделиться
C. Tantin Опубликовано 26 декабря, 2008 Поделиться Опубликовано 26 декабря, 2008 По логам могу сказать, что отключен регедит и таскмгр, "живёт" адварь (C:\PROGRA~1\FieryAds\). А ещё зловред "живёт" в корзине и файл автозапуска его в корне диска D:. Ждём хэлперов со скриптом... Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 декабря, 2008 Поделиться Опубликовано 26 декабря, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WN2PETQZ\c123[1].exe',''); QuarantineFile('C:\9j6n1v4y8n8.exe',''); QuarantineFile('C:\windows\system32\webcheck.dll',''); QuarantineFile('D:\dist\asus eeepc\eeectl_0.2.3\eeectl.exe',''); QuarantineFile('C:\windows\system32\sti_ci.dll',''); QuarantineFile('C:\windows\system32\shell32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\dciiodrv.sys',''); DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll'); DeleteFile('C:\9j6n1v4y8n8.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WN2PETQZ\c123[1].exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\SYSTMON.EXE'); DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); BC_ImportALL; ExecuteRepair(6); BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Логи повторите. Изменено 26 декабря, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
sdf Опубликовано 27 декабря, 2008 Автор Поделиться Опубликовано 27 декабря, 2008 (изменено) Пофиксить в HijackThis следующие строчки нету такой строчки;( virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip info.zip log.zip quarantine.zip выслал. Изменено 27 декабря, 2008 пользователем sdf Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 27 декабря, 2008 Поделиться Опубликовано 27 декабря, 2008 C:\WINDOWS\system32\drivers\dciiodrv.sys - найдите и проверьте http://www.virustotal.com/ru/ Ссылка на комментарий Поделиться на другие сайты Поделиться
sdf Опубликовано 28 декабря, 2008 Автор Поделиться Опубликовано 28 декабря, 2008 C:\WINDOWS\system32\drivers\dciiodrv.sys - найдите и проверьте http://www.virustotal.com/ru/ dciiodrv.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 28 декабря, 2008 Поделиться Опубликовано 28 декабря, 2008 Заметил в логах, что включёно восстановление системы, отключите, что бы удалить созданные ранее, а потом включите и создасться новая, без вирусов. Проблемы ещё наблюдаются? Ссылка на комментарий Поделиться на другие сайты Поделиться
sdf Опубликовано 28 декабря, 2008 Автор Поделиться Опубликовано 28 декабря, 2008 Заметил в логах, что включёно восстановление системы, отключите, что бы удалить созданные ранее, а потом включите и создасться новая, без вирусов.Проблемы ещё наблюдаются? Проблема не наблюдается...KIS7 молчит, трафик на лево не идет, регедит и таскмгр работает... Но, я не могу отключить восстановление системы. в Свойствах компьютера просто нет такой вкладки "Восстановление системы". Скажите, пожалуйста, как отключить другим способом)через другое место) Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 28 декабря, 2008 Поделиться Опубликовано 28 декабря, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ExecuteRepair(6); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Ссылка на комментарий Поделиться на другие сайты Поделиться
sdf Опубликовано 28 декабря, 2008 Автор Поделиться Опубликовано 28 декабря, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ExecuteRepair(6); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. что сделает этот скрипт? точее уже сделал) Изменено 28 декабря, 2008 пользователем sdf Ссылка на комментарий Поделиться на другие сайты Поделиться
_Ruslan_ Опубликовано 28 декабря, 2008 Поделиться Опубликовано 28 декабря, 2008 судя по фукнции, она преврящает переменную RebootWindows в значение true т.е. это пита аналог тому, что ты просто отключаешь (ставишь галочку) в Восстановление системы в свойствах Мой компьютер на отключить восстановление системы)) прикольно конечно скриптами пользоватся, только запара это.. Что бы с этим не мучатся и создали Windows)) Ссылка на комментарий Поделиться на другие сайты Поделиться
sdf Опубликовано 28 декабря, 2008 Автор Поделиться Опубликовано 28 декабря, 2008 судя по фукнции, она преврящает переменную RebootWindows в значение true т.е. это пита аналог тому, что ты просто отключаешь (ставишь галочку) в Восстановление системы в свойствах Мой компьютер на отключить восстановление системы)) прикольно конечно скриптами пользоватся, только запара это.. Что бы с этим не мучатся и создали Windows)) судя по ЭкзекутеРепаир - выполнить восстановление) а уже потом отправить комп в ребут.имхо) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти