Файл hosts

[ROMIK]

Всем привет.

 

Цитата

Falcon

Выполните скрипт в AVZ:

 

Код

begin

ClearHostsFile;

RebootWindows(true);

end.

 

Скрипт ничего не дал. Пробуем делать отчеты .

 

Вот отчеты. HiJackThis к сожалению скачать не удалось.

 

Посмотрите пожалуйста.

 

Или мож дадите ссылочку откуда вирус не помешает скачать HiJackThis ?

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 30 марта, 2009 пользователем ROMIK

[thyrex]

Посмотрите пожалуйста.

Или мож дадите ссылочку откуда вирус не помешает скачать HiJackThis ?

Сдается мне вы попали на Kido.

Вам сюда и выполняем обязательно все пункты

[ROMIK]

А что по логам видно ? Просто комп не мой и не могу гарантировать полного выполнения, с больным общаемся по телефону и майлу.

[thyrex]

А что по логам видно ? Просто комп не мой и не могу гарантировать полного выполнения, с больным общаемся по телефону и майлу.

По логам видна масса процессов svchost.exe, висящих на любимом этой заразой порту 445 Изменено 30 марта, 2009 пользователем thyrex

[ТроПа]

Хм, АВЗ увидел Кидо.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\aqebfl.dll','');
DeleteFile('C:\WINDOWS\system32\aqebfl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

Повторите логи.

 

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

ВЫложите логи ComboFix и Gmer.

[ROMIK]

Сдается мне вы попали на Kido.

Вам сюда и выполняем обязательно все пункты

 

Спасибо. Помогло. Каспер активировался, обновился. Если надо завтра будут новые логи .

[ТроПа]

Теперь только после проверки антивирусом системы, можете выложить комплект логов.

[ROMIK]

Хорошо. Проверка идет. Завтра вечерком будут логи .

[ROMIK]

Привет. Вот интереса ради посмотрите на количество зверей на бедном компе. Это результат быстрой проверки до удаления кидо со старыми базами + после вчерашнего лечения, обновления баз и быстрой проверки. Логи после полной проверки будут попозже ! Стока нахватать надо еще суметь, и еще не известно что найдет после полной проверки.

 

Вот новые логи. После полной проверки каспер удалил еще 10 троянов Посмотрите пожалуйста чисто или еще что то надо. Если что можно сделать логи HiJackThis, теперь его можно скачать.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 31 марта, 2009 пользователем ROMIK

[akoK]

Ждем лог gmer и ComboFix.

[ТроПа]

У АВЗ активного заражения в логах не видать.

Какие-то проблемы ещё наблюдаются?

Если да то

 

Ждем лог gmer и ComboFix.

 

Вот новые логи. После полной проверки каспер удалил еще 10 троянов

 

Ну на то он и антивирус, что бы удалять заразу.

[ROMIK]

Так как комп не мой пусть посмотрит денек на поведение машины и если что сделаем лог gmer и ComboFix.

 

Ну на то он и антивирус, что бы удалять заразу.

 

Это понятно, но не знаю как вы а я такого количества всякой нечисти на компе не видил. ( см. скрин сообщение 24 )

Изменено 31 марта, 2009 пользователем ROMIK

[ТроПа]

Бывает больше, повезло что не файловый вирус, который заражает все исполнительные файлы, вот тогда их огромное колличество.

[ROMIK]

Такой вопрос назрел как я писал в начал темы на машине сначала стоял нод и ничего не находил. После его удаления курит нашел кучу хлама. Каспер со старыми базами проактивкой нашел 200 штук. После удаления кидо нашел сигнатурно штук 90, а нод молчал как партизан. Все таки хороший или плохой это антивирус, но он ненашел ничего. Или может его кидо грохнул ?

Изменено 31 марта, 2009 пользователем ROMIK

[ТроПа]

Такой вопрос назрел как я писал в начал темы на машине сначала стоял нод и ничего не находил.

 

Ну тут какая версия была, насколько свежие базы, какие настройки антивируса, в общем целый комплекснй подход.

 

Или может его кидо грохнул ?

Смотря какая разновидность Кидо была, если новая - то она, по описаниям, противодействует запуску антивирусов.

 

Эти патчи от Microsoft установлены? если нет - то утсановите.

 

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

http://www.microsoft.com/technet/security/...n/ms08-068.mspx

http://www.microsoft.com/technet/security/...n/ms09-001.mspx

Изменено 31 марта, 2009 пользователем wise-wistful