Костян Пират 0 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 (изменено) в последнее время появляются сообщения от Касперского об отраженных атаках, типа: 21.02.2009 17:16:00 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.1.32. Протокол/сервис: TCP на локальный порт 445. Время: 21.02.2009 17:16:00 К слову, скачал KidoKiller3.2, он ничего не обнаружил... а еще мне сказали на одном форуме что на downadup похоже... virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 22 февраля, 2009 пользователем Костян Пират Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Ну кидо не у Вас а у кого-то другого и он пытается вас заразить. У Вас локальная сеть или нет? 'C:\WINDOWS\system32\drivers\hhmesn.sys' - проверьте на virustotal.com и дайте ссылку на результат проверки. Цитата Ссылка на сообщение Поделиться на другие сайты
Костян Пират 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 Ну кидо не у Вас а у кого-то другого это обнадёживает... и он пытается вас заразить вот засранец! У Вас локальная сеть или нет? нет... причем сообщения появляются и когда комп отключен от инета... хотя у меня ADSL, через сетевую карту подклчается, если это важно... 'C:\WINDOWS\system32\drivers\hhmesn.sys' - проверьте на virustotal.com такого файа я у себя не обнаружил а downadup и kido насколько я понял одно и то же... Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Разные разработчики по разному называют. Давайте попробуем для очистки совести сделать ещё это Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe ВЫложите логи ComboFix и Gmer. Цитата Ссылка на сообщение Поделиться на другие сайты
Костян Пират 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 а это нормально столько инфы о себе выкладывать в общее владение? вот результаты: brrrrrrr.log ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 258 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Костян Пират не хотите-не выкладывайте и лечитесь сами тогда Цитата Ссылка на сообщение Поделиться на другие сайты
Костян Пират 0 Опубликовано 22 февраля, 2009 Автор Share Опубликовано 22 февраля, 2009 не хотите-не выкладывайте так выложил же! я имел ввиду мож как-то поосторожней, скинуть в личку модерам, например... Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 258 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 Костян Пират модераторы не занимаются лечением. В личке никто анализировать не будет(ну если только у кого-то творческий порыв будет). Выложенные данные вам никак не повредят. Здесь их выкладывают сотнями. Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 22 февраля, 2009 Share Опубликовано 22 февраля, 2009 (изменено) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. ременно выключите антивирус, firewall и другое защитное программное обеспечение File:: Driver:: Folder:: Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80c0680c-7856-11dd-ace8-9172f8da6bda}] FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Для деинсталяции ComboFix с компьютера необходимо выполнить: Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК" перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером. Можете удалить свои логи. если переживаете. Изменено 22 февраля, 2009 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
Костян Пират 0 Опубликовано 23 февраля, 2009 Автор Share Опубликовано 23 февраля, 2009 wise-wistful Спасибо! Будем надеяться проблема исчезнет... а что собственно это было и откуда оно взялось (если можно на этот вопрос ответить)? А AVZ и HJT просто так удаляются? Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 23 февраля, 2009 Share Опубликовано 23 февраля, 2009 HJT - в начале удалите через Пуск--Панель управления -- Установка и удаление п рограмм, а потом просто папку. Перед удалением АВЗ меню файл--стандартные скрипты, ставите галочку возле пункта 6 Удалние всех драйверов и ключей реестра AVZ. Выполнить отмеченный скрипты. после этого удаляйте папку с АВЗ. а что собственно это было и откуда оно взялось (если можно на этот вопрос ответить)? Я просто удалил запись в реестре на запуск какого-то файла. Она там никчему. Когда надо будет - то всё само запишется где и как нужно. Цитата Ссылка на сообщение Поделиться на другие сайты
Костян Пират 0 Опубликовано 23 февраля, 2009 Автор Share Опубликовано 23 февраля, 2009 Я просто удалил запись в реестре на запуск какого-то файла. Она там никчему. Когда надо будет - то всё само запишется где и как нужно. к сожалению, проблема осталась... Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 23 февраля, 2009 Share Опубликовано 23 февраля, 2009 Так оно и будет. Ведь Файерволл блокирует доступ из-вне к вашему компьютеру. Ведь заражена не ваша система. Что тут поделаешь. Нужно радоваться, что доступ блокируется. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.