Перейти к содержанию
Правила раздела

Файл hosts

ROMIK

Автор ROMIK
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ROMIK

ROMIK

Опубликовано
  • Автор
Опубликовано (изменено)

Всем привет.

 

Цитата

Falcon

Выполните скрипт в AVZ:

 

Код

begin

ClearHostsFile;

RebootWindows(true);

end.

 

Скрипт ничего не дал. Пробуем делать отчеты .

 

Вот отчеты. HiJackThis к сожалению скачать не удалось.

 

Посмотрите пожалуйста. :lol:

 

Или мож дадите ссылочку откуда вирус не помешает скачать HiJackThis ?

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 34
  • Создана
  • Последний ответ

Топ авторов темы

  • ROMIK

    14

  • ТроПа

    6

  • SOL.

    5

  • Falcon

    3

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

MedvedevUnited
MedvedevUnited

Можно, конечно, но, я думаю, в данном случае проще сделать автоматически. Если бы ROMIK вносил в hosts какие-нибудь свои изменения, наверно, не спрашивал бы о нормальном виде этого файла

thyrex
thyrex

По логам видна масса процессов svchost.exe, висящих на любимом этой заразой порту 445

ТроПа
ТроПа

У АВЗ активного заражения в логах не видать. Какие-то проблемы ещё наблюдаются? Если да то       Ну на то он и антивирус, что бы удалять заразу.

Изображения в теме

thyrex

thyrex

Опубликовано
Опубликовано
Посмотрите пожалуйста. :lol:

Или мож дадите ссылочку откуда вирус не помешает скачать HiJackThis ?

Сдается мне вы попали на Kido.

Вам сюда и выполняем обязательно все пункты

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано (изменено)
А что по логам видно ? Просто комп не мой и не могу гарантировать полного выполнения, с больным общаемся по телефону и майлу.
По логам видна масса процессов svchost.exe, висящих на любимом этой заразой порту 445 Изменено пользователем thyrex
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано

Хм, АВЗ увидел Кидо.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\aqebfl.dll','');
DeleteFile('C:\WINDOWS\system32\aqebfl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес dbc22864ba2b.gif В теле письма укажите ссылку на тему.

 

Повторите логи.

 

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

ВЫложите логи ComboFix и Gmer.

Ссылка на комментарий
Поделиться на другие сайты
ROMIK

ROMIK

Опубликовано
  • Автор
Опубликовано
Сдается мне вы попали на Kido.

Вам сюда и выполняем обязательно все пункты

 

Спасибо. Помогло. Каспер активировался, обновился. Если надо завтра будут новые логи .

Ссылка на комментарий
Поделиться на другие сайты
ROMIK

ROMIK

Опубликовано
  • Автор
Опубликовано (изменено)

Привет. Вот интереса ради посмотрите на количество зверей на бедном компе. Это результат быстрой проверки до удаления кидо со старыми базами + после вчерашнего лечения, обновления баз и быстрой проверки. Логи после полной проверки будут попозже ! :D Стока нахватать надо еще суметь, и еще не известно что найдет после полной проверки. :wacko:

 

Вот новые логи. После полной проверки каспер удалил еще 10 троянов :o :D Посмотрите пожалуйста чисто или еще что то надо. Если что можно сделать логи HiJackThis, теперь его можно скачать.

post-7265-1238504560_thumb.jpg

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано

У АВЗ активного заражения в логах не видать.

Какие-то проблемы ещё наблюдаются?

Если да то

 

Ждем лог gmer и ComboFix.

 

Вот новые логи. После полной проверки каспер удалил еще 10 троянов

 

Ну на то он и антивирус, что бы удалять заразу.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
ROMIK

ROMIK

Опубликовано
  • Автор
Опубликовано (изменено)

Так как комп не мой пусть посмотрит денек на поведение машины и если что сделаем лог gmer и ComboFix.

 

Ну на то он и антивирус, что бы удалять заразу.

 

Это понятно, но не знаю как вы а я такого количества всякой нечисти на компе не видил. ( см. скрин сообщение 24 ) :wacko:

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано

Бывает больше, повезло что не файловый вирус, который заражает все исполнительные файлы, вот тогда их огромное колличество.

Ссылка на комментарий
Поделиться на другие сайты
ROMIK

ROMIK

Опубликовано
  • Автор
Опубликовано (изменено)

Такой вопрос назрел как я писал в начал темы на машине сначала стоял нод и ничего не находил. После его удаления курит нашел кучу хлама. Каспер со старыми базами проактивкой нашел 200 штук. После удаления кидо нашел сигнатурно штук 90, а нод молчал как партизан. Все таки хороший или плохой это антивирус, но он ненашел ничего. Или может его кидо грохнул ? :wacko:

Изменено пользователем ROMIK
Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано (изменено)
Такой вопрос назрел как я писал в начал темы на машине сначала стоял нод и ничего не находил.

 

Ну тут какая версия была, насколько свежие базы, какие настройки антивируса, в общем целый комплекснй подход.

 

Или может его кидо грохнул ?

Смотря какая разновидность Кидо была, если новая - то она, по описаниям, противодействует запуску антивирусов.

 

Эти патчи от Microsoft установлены? если нет - то утсановите.

 

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

http://www.microsoft.com/technet/security/...n/ms08-068.mspx

http://www.microsoft.com/technet/security/...n/ms09-001.mspx

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...