Cкрытая зараза, KIS'ом не убивается

[ТроПа]

АВЗ - файл--просмотр карантина, посмотрите есть там он ли нет.

[dimdeposit]

есть, что то в карантине, на них и был сделан скрипт - я так понимаю, характерно то что последний сеанс инета 3 часа, оставлю на ночь, завтра отпишусь!

[ТроПа]

есть, что то в карантине, на них и был сделан скрипт - я так понимаю

Правильно понимаете - это оно и есть.

Изменено 3 апреля, 2009 пользователем wise-wistful

[dimdeposit]

извеняюсь, раньше не мог, хотел 5 апреля отписатся, - так вот с 4 - на 5 связь с инет проработала на ура, перебоев раньше описаных не было, ... 6 апр сидел локально, браузер был закрыт от каспера проактивка выдает "Процесс C:\WINDOWS\system32\svchost.exe (PID: 1436): попытка запуска браузера с командной строкой."

разрешил, просто интересно стало куда "оно" полезит, полезло на какой-то буржуйский сайт, уж и не припомню, сегодня собщ. типа "Процесс C:\WINDOWS\system32\svchost.exe (PID: 3764): попытка внедрения в другой процесс, все в winlogon.exe рвется. - уж задрали!!

базы каспера от 7.04.09г. - вирусы не видит

посылаю новый комплект логов, virusinfo_syscure - сделал после попытка внедрения в другой процесс и падения инета, что то должно быть! хелперы помогайте! а то я подумываю уже винду снести что-ли, повторюсь, - ", это ж не возможно через каж 5 мин перезагружать копм что б что нибуть поделоть, кроме локальную молчанку с компом, без звука и без инета!"

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

 

 

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его

[dimdeposit]

1.временные файлы удалил

2.Report.txt прикрепил к сообщению

3.ComboFix.txt прикрепил к сообщению

4. gmer.log прикрепил к сообщению

Report.txt

ComboFix.txt

gmer.log

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows\system32\drivers\SjyPkt.sys
c:\documents and settings\Admin\srv.exe
c:\documents and settings\Admin\update.exe
Driver::
SjyPkt
Folder::

Registry::

FileLook::
c:\program files\Clicker\Clicker.exe
c:\windows\pss\PackBarre2.exe
c:\program files\HitHost.exe
C:\pv.exe
DirLook::
c:\temp\WPDNSE
C:\11

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[dimdeposit]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

.....

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

сделано!!! кстати проблема не устраилась, жду следующего совета!

ComboFix.txt

Изменено 8 апреля, 2009 пользователем dimdeposit

[dimdeposit]

вообщем друзья, следящие за данной тематикой, так от нечего делать решил посмотреть в историю тем, и нашел же подобную проблему, люди давненько сталкиваются с ней, итак из темы в тему добрел до решения - оно было простое поставил заплатки от майкрософт, доверия к ним до сего дня у меня не было, да и не появилось на все-то 100%, но помогло! помогло Блин! - скачал около 70 мб заплаток, мож чуток и лишка взял, можно было обойтись и меньшим!

 

спасибо wise-wistful и akoK, за поддержку и практическую помощь, респект и уважуха, только совет вам господа, если как в моем случае вы не чего не увидете - посоветуйте поставить обновления майкрософта(не сочтите за рекламу - факт есть факт)