Alexey_I 5 Опубликовано 16 января, 2009 Share Опубликовано 16 января, 2009 хотя гмер ничего не показывает ;( Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] xfdrii <-- ROOTKIT ! Очень даже нашел, хотя combofix отработал и удалил всё (c:\windows\system32\tyegajdg.dll был на месте, удален CF) и ещё H:\autorun.inf, т.е. вы видимо вставляли флешку и снова заразились (или патч не установили) Отключите автозапуск со съемных дисков см. Борьба с автозапуском новыми методами , включите встроенный брандмауэр и закройте в нем 445 и 139 порт. Прочтите Эпидемия Net-Worm.Win32.Kido и поставьте патч. SuperCopier2 деинсталлируйте временно. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall (встроенный оставить!) и другое защитное программное обеспечение File:: C:\WINDOWS\system32\tyegajdg.dll Driver:: xfdrii mchInjDrv Registry:: [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mchInjDrv] [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\xfdrii] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xfdrii] Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Лог gmer выложили не полный, сделайте полное сканирование системы с помощью gmer и выложите новый лог. Скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 16 января, 2009 Автор Share Опубликовано 16 января, 2009 ниже логи ДДС. Как заблочить в стандартном фаерволе виндовса(я имею в виду брендмауэр), я не знаю, просветите пожалуйста. сейчас кину остальные логи. забыл сказать, при полной проверке гмером - зависает сам гмер ( Attach.txt DDS.txt Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 16 января, 2009 Share Опубликовано 16 января, 2009 (изменено) Установите заплатку MS08-067 Если нет доступа к сайту microsoft, то ее(заплатку) можно скачать тут WindowsXP-KB958644-x86-RUS.exe Изменено 16 января, 2009 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 16 января, 2009 Автор Share Опубликовано 16 января, 2009 установило только что. страаано! раньше пробовал поставить-гвоорило что то типа у вас установлена версия выше чем вы пытаетесь установить. Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 16 января, 2009 Share Опубликовано 16 января, 2009 как заблочить в стандартном фаерволе виндовса(я имею в виду брендмауэр), я не знаю, просветите пожалуйста. Что такое брандмауэр Windows В Исключениях уберите галочку обший доступ к файлам и принтерам и уберите оттуда то, что незнакомо. Где новый лог cobofix и после выполнения CFScript логи gmer и dds? Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 16 января, 2009 Автор Share Опубликовано 16 января, 2009 вот все логи. DDS_Attach.txt DDS_DDS.txt ComboFix.txt gmer_fast.log gmer_full.log Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 17 января, 2009 Share Опубликовано 17 января, 2009 В логах ничего плохого, проблемы ещё наблюдаются? Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 17 января, 2009 Автор Share Опубликовано 17 января, 2009 да, дальше атаки на порт 445 продолжаются. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 17 января, 2009 Share Опубликовано 17 января, 2009 да, дальше атаки на порт 445 продолжаются. Это атаки от зараженных компьютеров в сети. Как самочувствие этой машины? Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 17 января, 2009 Автор Share Опубликовано 17 января, 2009 Цитатада, дальше атаки на порт 445 продолжаются. Это атаки от зараженных компьютеров в сети. Как самочувствие этой машины? самочувствие вроде норм, но есть одно но. машина подключена к каналу инета на 2 мегабита. инет стал раз в 10 медленнее. ужасные задержки. закачка файлов - скорость не больше 10 кб/сек. онлайн видео нормально посмотреть не могу теперь. с провайдером проблем нет, они говорят-канал не загружен, давно с ними работаю, траблов не было никогда, надежные люди. в чем может быть проблема? Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 17 января, 2009 Share Опубликовано 17 января, 2009 Давайте посмотрим: Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 17 января, 2009 Автор Share Опубликовано 17 января, 2009 вот логи info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 17 января, 2009 Share Опубликовано 17 января, 2009 Ничего явно активного не вижу. Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 17 января, 2009 Автор Share Опубликовано 17 января, 2009 Ну что ж, тогда порекомендуйте как мне вылечить все остальные машины в сети? Есть много заражений, судя по атакам. Как сделать это быстро и безболезненно? Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 17 января, 2009 Share Опубликовано 17 января, 2009 По проблеме скорости сети - попробуйте воспользоваться утилитой WinsockFix, по использованию см http://virusinfo.info/showthread.php?t=1531 Остальные вылечить таким же способом или отправить файл, который вы должны были скопировать с помощью gmer, в вирлаб и дождаться когда утилита ЛК сможет лечить ваш зловред. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.