Bob Rowsky 0 Опубликовано 17 мая, 2009 Автор Share Опубликовано 17 мая, 2009 (изменено) Патчи ставили? Порты блокировали: Или опять на это нет времени... Патчи поставил, порты блокировал (сразу после отправки логов в 6 часов утра). Сейчас все сделаю. Вот логи полиморфного AVZ. Gmer проверку до конца не производит, на середине второго (несистемного) диска происходит перезапуск операц. системы (пробовал четыре раза), его (Gmer-а) лога поэтому нет. Что делать дальше? virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 17 мая, 2009 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 мая, 2009 Share Опубликовано 17 мая, 2009 При создании лога gmer нужно отмечать только системный диск Попробуйте сделать лог заново. Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\GIGAZOID\LOCALS~1\Temp\catchme.sys',''); DeleteService('catchme'); DeleteFile('C:\DOCUME~1\GIGAZOID\LOCALS~1\Temp\catchme.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделать новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 17 мая, 2009 Автор Share Опубликовано 17 мая, 2009 Выполните скрипт в AVZ У меня вопрос. В каком AVZ скрипт выполнять, в обычном или полиморфном? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 мая, 2009 Share Опубликовано 17 мая, 2009 (изменено) Если уж занялись полиморфным, в нем все и делайте Да, утилита KidoKiller уже обновленная. Ее не запускали еще раз? Стоит попробовать Изменено 17 мая, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 17 мая, 2009 Share Опубликовано 17 мая, 2009 (изменено) thyrex, catchme.sys от комбофикса. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Изменено 17 мая, 2009 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 18 мая, 2009 Автор Share Опубликовано 18 мая, 2009 (изменено) Вот лог от работы Gmer-a. Я не понял, в связи с сообщением от akoK-a, мне указанные скрипты AVZ таки выполнять или нет? my_log_15052009.log Изменено 18 мая, 2009 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 18 мая, 2009 Share Опубликовано 18 мая, 2009 Я не понял, в связи с сообщением от akoK-a, мне указанные скрипты AVZ таки выполнять или нет? Нет, не стоит. Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 18 мая, 2009 Автор Share Опубликовано 18 мая, 2009 Выполнил Kido_killer. Что делать дальше? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 мая, 2009 Share Опубликовано 18 мая, 2009 Он что-нибудь нашел? Проблема осталась? Если да, тогда сделайте лог gmer правильно (из всех дисков выбирать только системный) Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 19 мая, 2009 Share Опубликовано 19 мая, 2009 (изменено) Bob Rowsky, Здравствуйте. [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) У вас брандмауэр windows выключен, включите его и уберите в исключениях netbios порты, отключите также автозапуск со съемных носителей. Для отключения автозапуска скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf jre1.5.0_08 - Обновите Java Runtime Environment (JRE) Скачайте JavaRA здесь или здесь Распакуйте, запустите, выберите "Remove Older Versions", Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage" Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение File:: C:\WINDOWS\system32\fpextyu.dll Driver:: ovnzokafm NetSvc:: ovnzokafm После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Скачайте и запустите Online Solutions Autorun Manager, дождитесь пока закончится сканирование и затем нажмите на вторую кнопку в верхнем меню программы (кнопка "Save Log"): Сохраните отчет, запакуйте и вложите в сообщение. Изменено 19 мая, 2009 пользователем Alexey_I Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 22 мая, 2009 Автор Share Опубликовано 22 мая, 2009 (изменено) Он что-нибудь нашел? Проблема осталась?Если да, тогда сделайте лог gmer правильно (из всех дисков выбирать только системный) Я его запустил с ключем "-у" и отошел. Он выполнился и закрылся. Поэтому я не в курсах, нашел он что-нибудь или нет. Объективно, проблема не осталась, таки все нормально. Компьютер не виснет. Уже Вам огромное спасибо. А что касается инструментальных проверок - я не разбираюсь в этом. Таки мне кидо-киллер надо еще запускать или таки - нет? Bob Rowsky, Здравствуйте. [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) Здравствуйте! Я проверил, у меня там единичка стоит. Мне что, нолик поставить, как у Вас написано? У меня брандмауэр Windiws на рабочем столе лежит. Открываю, он - включен, это неправда, что-ли? Автозапуск отключил. Изменено 22 мая, 2009 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 23 мая, 2009 Share Опубликовано 23 мая, 2009 Скрипт писался по логам combofix поста 12, в логах [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0) Означает, что брандмауэр был выключен.. Лог на 2009-02-23 18:54, вы в это время проверяли состояние брандмауэра и помните, что он у вас в это время был включен? Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 23 мая, 2009 Автор Share Опубликовано 23 мая, 2009 Скрипт писался по логам combofix поста 12, в логах Означает, что брандмауэр был выключен.. Лог на 2009-02-23 18:54, вы в это время проверяли состояние брандмауэра и помните, что он у вас в это время был включен? Спасибо, я понял. Цитата Ссылка на сообщение Поделиться на другие сайты
alexey_t 0 Опубликовано 5 июня, 2009 Share Опубликовано 5 июня, 2009 Здравствуйте ! Поставил заплатки на серверах, но job-ы всеравно создаются...Кто нибудь с этим сталкивался ? Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 5 июня, 2009 Share Опубликовано 5 июня, 2009 alexey_t Вы же вроде уже это спрашивали на оффоруме Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.