Bob Rowsky Опубликовано 17 мая, 2009 Автор Поделиться Опубликовано 17 мая, 2009 (изменено) Патчи ставили? Порты блокировали: Или опять на это нет времени... Патчи поставил, порты блокировал (сразу после отправки логов в 6 часов утра). Сейчас все сделаю. Вот логи полиморфного AVZ. Gmer проверку до конца не производит, на середине второго (несистемного) диска происходит перезапуск операц. системы (пробовал четыре раза), его (Gmer-а) лога поэтому нет. Что делать дальше? virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 17 мая, 2009 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 17 мая, 2009 Поделиться Опубликовано 17 мая, 2009 При создании лога gmer нужно отмечать только системный диск Попробуйте сделать лог заново. Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\GIGAZOID\LOCALS~1\Temp\catchme.sys',''); DeleteService('catchme'); DeleteFile('C:\DOCUME~1\GIGAZOID\LOCALS~1\Temp\catchme.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделать новые логи Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 17 мая, 2009 Автор Поделиться Опубликовано 17 мая, 2009 Выполните скрипт в AVZ У меня вопрос. В каком AVZ скрипт выполнять, в обычном или полиморфном? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 17 мая, 2009 Поделиться Опубликовано 17 мая, 2009 (изменено) Если уж занялись полиморфным, в нем все и делайте Да, утилита KidoKiller уже обновленная. Ее не запускали еще раз? Стоит попробовать Изменено 17 мая, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 мая, 2009 Поделиться Опубликовано 17 мая, 2009 (изменено) thyrex, catchme.sys от комбофикса. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Изменено 17 мая, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 18 мая, 2009 Автор Поделиться Опубликовано 18 мая, 2009 (изменено) Вот лог от работы Gmer-a. Я не понял, в связи с сообщением от akoK-a, мне указанные скрипты AVZ таки выполнять или нет? my_log_15052009.log Изменено 18 мая, 2009 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 18 мая, 2009 Поделиться Опубликовано 18 мая, 2009 Я не понял, в связи с сообщением от akoK-a, мне указанные скрипты AVZ таки выполнять или нет? Нет, не стоит. Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 18 мая, 2009 Автор Поделиться Опубликовано 18 мая, 2009 Выполнил Kido_killer. Что делать дальше? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 18 мая, 2009 Поделиться Опубликовано 18 мая, 2009 Он что-нибудь нашел? Проблема осталась? Если да, тогда сделайте лог gmer правильно (из всех дисков выбирать только системный) Ссылка на комментарий Поделиться на другие сайты Поделиться
Alexey_I Опубликовано 19 мая, 2009 Поделиться Опубликовано 19 мая, 2009 (изменено) Bob Rowsky, Здравствуйте. [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) У вас брандмауэр windows выключен, включите его и уберите в исключениях netbios порты, отключите также автозапуск со съемных носителей. Для отключения автозапуска скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf jre1.5.0_08 - Обновите Java Runtime Environment (JRE) Скачайте JavaRA здесь или здесь Распакуйте, запустите, выберите "Remove Older Versions", Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage" Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение File:: C:\WINDOWS\system32\fpextyu.dll Driver:: ovnzokafm NetSvc:: ovnzokafm После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Скачайте и запустите Online Solutions Autorun Manager, дождитесь пока закончится сканирование и затем нажмите на вторую кнопку в верхнем меню программы (кнопка "Save Log"): Сохраните отчет, запакуйте и вложите в сообщение. Изменено 19 мая, 2009 пользователем Alexey_I Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 22 мая, 2009 Автор Поделиться Опубликовано 22 мая, 2009 (изменено) Он что-нибудь нашел? Проблема осталась?Если да, тогда сделайте лог gmer правильно (из всех дисков выбирать только системный) Я его запустил с ключем "-у" и отошел. Он выполнился и закрылся. Поэтому я не в курсах, нашел он что-нибудь или нет. Объективно, проблема не осталась, таки все нормально. Компьютер не виснет. Уже Вам огромное спасибо. А что касается инструментальных проверок - я не разбираюсь в этом. Таки мне кидо-киллер надо еще запускать или таки - нет? Bob Rowsky, Здравствуйте. [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) Здравствуйте! Я проверил, у меня там единичка стоит. Мне что, нолик поставить, как у Вас написано? У меня брандмауэр Windiws на рабочем столе лежит. Открываю, он - включен, это неправда, что-ли? Автозапуск отключил. Изменено 22 мая, 2009 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
Alexey_I Опубликовано 23 мая, 2009 Поделиться Опубликовано 23 мая, 2009 Скрипт писался по логам combofix поста 12, в логах [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0) Означает, что брандмауэр был выключен.. Лог на 2009-02-23 18:54, вы в это время проверяли состояние брандмауэра и помните, что он у вас в это время был включен? Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 23 мая, 2009 Автор Поделиться Опубликовано 23 мая, 2009 Скрипт писался по логам combofix поста 12, в логах Означает, что брандмауэр был выключен.. Лог на 2009-02-23 18:54, вы в это время проверяли состояние брандмауэра и помните, что он у вас в это время был включен? Спасибо, я понял. Ссылка на комментарий Поделиться на другие сайты Поделиться
alexey_t Опубликовано 5 июня, 2009 Поделиться Опубликовано 5 июня, 2009 Здравствуйте ! Поставил заплатки на серверах, но job-ы всеравно создаются...Кто нибудь с этим сталкивался ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 5 июня, 2009 Поделиться Опубликовано 5 июня, 2009 alexey_t Вы же вроде уже это спрашивали на оффоруме Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти