Puzat 0 Опубликовано 15 апреля, 2009 Share Опубликовано 15 апреля, 2009 Пару дней назад началось с того что у меня FF 3.0.8 начала падать каждые 5-15 минут, при том что на совершенно разных страницах и при совершенно разных действиях, смотрел журнал ошибок FF ничего там странного не заметил, потом решил попробовать последнюю Оперу, скачал, но проблема осталась, было решено попробовать IE 7.0 стандартный, который был установлен с системой, всё так же. Сегодня вообще дошло до того что не даёт открыть браузеры. Проверил через KIS 2009 с свежими обновлениями, ничего не нашлось, составил логи как написано в инструкция раздела, жду вашей помощи эксперты. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 15 апреля, 2009 Share Опубликовано 15 апреля, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\java32w.dll',''); DeleteFile('C:\WINDOWS\system32\java32w.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Пофиксить в HiJack F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing) Файл hosts Вам придется править вручную. Там, видимо, есть и Ваши собственные блокировки Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Puzat 0 Опубликовано 16 апреля, 2009 Автор Share Опубликовано 16 апреля, 2009 Выполните скрипт в AVZКод begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\java32w.dll',''); DeleteFile('C:\WINDOWS\system32\java32w.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Сделал, но во время выполнения скрипта выскочила ошибка следующего вида - Invalid data type for " В окне хода выполнения скрипта было написано что удаление sdra64.exe и java32w.dll наступит после перезагрузки. После чего я перезагрузил компьютер и продолжил выполнять ваши рекомендации. Выполнить скрипт в AVZ.Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Пофиксить в HiJack Код F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing) Сделал. Файл hosts Вам придется править вручную. Там, видимо, есть и Ваши собственные блокировки А что в нём нужно править? Сделайте новые логи Сделал, прикрепил. Так же хотелось узнать о дальнейших действиях чтобы исключить попадание этих вирус в будущем, кстати пишу сейчас уже со своего компьютера так как браузеры заработали hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 16 апреля, 2009 Share Опубликовано 16 апреля, 2009 Вот содержимое Вашего файла hosts 127.0.0.1 localhost 127.0.0.1 www.wp-includes.gopovnet 127.0.0.1 www.wp-content.gopovnet 127.0.0.1 www.subdomain.localhost 127.0.0.1 www.subdomain.test1.ru 127.0.0.1 www.wp-admin.gopovnet 127.0.0.1 wp-includes.gopovnet 127.0.0.1 www.wp-includes.3fn 127.0.0.1 subdomain.localhost 127.0.0.1 www.wp-includes.fds 127.0.0.1 wp-content.gopovnet 127.0.0.1 www.smskop.gopovnet 127.0.0.1 www.wp-content.fds 127.0.0.1 www.wp-content.3fn 127.0.0.1 subdomain.test1.ru 127.0.0.1 wp-admin.gopovnet 127.0.0.1 www.zakladochnik 127.0.0.1 www.wp-admin.3fn 127.0.0.1 www.wp-admin.fds 127.0.0.1 smskop.gopovnet 127.0.0.1 wp-includes.fds 127.0.0.1 wp-includes.3fn 127.0.0.1 wp-content.fds 127.0.0.1 www.registator 127.0.0.1 wp-content.3fn 127.0.0.1 www.localhost 127.0.0.1 wp-admin.fds 127.0.0.1 www.main.3fn 127.0.0.1 www.test1.ru 127.0.0.1 zakladochnik 127.0.0.1 wp-admin.3fn 127.0.0.2 custom-host 127.0.0.1 www.parser 127.0.0.2 www.custom 127.0.0.1 registator 127.0.0.1 www.Wheel 127.0.0.1 www.ford 127.0.0.1 test1.ru 127.0.0.1 www.ncc1 127.0.0.1 main.3fn 127.0.0.1 www.ncc 127.0.0.1 www.dle 127.0.0.1 www.sat 127.0.0.1 www.lc 127.0.0.2 custom 127.0.0.1 parser 127.0.0.1 Wheel 127.0.0.1 ford 127.0.0.1 ncc1 127.0.0.1 dle 127.0.0.1 ncc 127.0.0.1 sat 127.0.0.1 lc 212.158.173.5 wmsc2.webmoney.ru 82.198.171.132 wmsc3.webmoney.ru 91.200.28.138 wmsc4.webmoney.ru 212.118.48.136 wmsc1.webmoney.ru 82.198.171.133 wmsc3.webmoney.ru 212.118.48.132 wmsc1.webmoney.ru 212.118.48.139 wmsc1.webmoney.ru 127.0.0.1 microsoft 127.0.0.1 forum.kas 127.0.0.1 auto-acti 127.0.0.1 auto-acti 127.0.0.1 https://a 127.0.0.1 https://a 127.0.0.1 auto-acti 127.0.0.1 https://a 127.0.0.1 https://a 127.0.0.1 auto-acti 127.0.0.1 https://a 127.0.0.1 auto-acti 127.0.0.1 https://a 127.0.0.1 https://a 127.0.0.1 auto-acti 127.0.0.1 auto-acti 127.0.0.1 kaspersky 127.0.0.1 malwaredo 127.0.0.1 zeustrack 127.0.0.1 abuse.ch Из всего перечисленного в нем изначально должна быть только первая строка и такой текст в начале # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999 # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка), они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x Цитата Ссылка на сообщение Поделиться на другие сайты
Puzat 0 Опубликовано 16 апреля, 2009 Автор Share Опубликовано 16 апреля, 2009 Hosts почистил, оставил только текст и первую строку, которые вы выше писали. Хотелось узнать по поводу ошибки во время выполнения скрипта, всё ок или что-то нужно повторить или переделать? Выполните скрипт в AVZКод begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\java32w.dll',''); DeleteFile('C:\WINDOWS\system32\java32w.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Сделал, но во время выполнения скрипта выскочила ошибка следующего вида - Invalid data type for " В окне хода выполнения скрипта было написано что удаление sdra64.exe и java32w.dll наступит после перезагрузки. После чего я перезагрузил компьютер и продолжил выполнять ваши рекомендации. А так же хотелось бы получить совет, что порекомендуете сделать чтобы максимально исключить попадения этих троянов на компьютер повторно? А так же я прочитал, что данные трояные это spy и нужно поменять ко всему пароли, верно ли это? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 16 апреля, 2009 Share Опубликовано 16 апреля, 2009 В скрипте ошибок не было. Компьютер должен был сам перегрузиться. Где повторные логи? Цитата Ссылка на сообщение Поделиться на другие сайты
Puzat 0 Опубликовано 16 апреля, 2009 Автор Share Опубликовано 16 апреля, 2009 (изменено) Повторные логи выше выкладывал http://forum.kasperskyclub.ru/index.php?sh...ost&p=97806 Кстати пришло письмо от kaspersky: Здравствуйте, java32w.dll - Trojan-Spy.Win32.Delf.fum Этот файл определяется антивирусом. Обновите антивирусные базы. sdra64.exe - Trojan-Spy.Win32.Zbot.sco Детектирование файла будет добавлено в следующее обновление. Изменено 16 апреля, 2009 пользователем Puzat Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 16 апреля, 2009 Share Опубликовано 16 апреля, 2009 Ах, да. Просто в спешке зарапортовался. По логам больше ничего опасного нет. Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Puzat 0 Опубликовано 16 апреля, 2009 Автор Share Опубликовано 16 апреля, 2009 Проблема решилась, всё нормально работает, вот хотелось бы защититься на будующее, может какие-нибудь действия принять, ведь пролезло это всё дело как-то через KIS 2009, а так же может пароли ко всему нужно поменять или ещё что сделать, ведь не просто этот троян или вирус у меня на компьютере сидел. Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 16 апреля, 2009 Share Опубликовано 16 апреля, 2009 Электронная книга «Безопасный Интернет. Универсальная защита для Windows ME - Vista» (автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко), издание третье, измененное и дополненное. Почитайте, очень полезная информация. Ссылка. Цитата Ссылка на сообщение Поделиться на другие сайты
Puzat 0 Опубликовано 16 апреля, 2009 Автор Share Опубликовано 16 апреля, 2009 Книгу обязательно прочту, а по найденным у меня троянам что можете посоветовать сделать, нужно ли пароли менять везде? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 16 апреля, 2009 Share Опубликовано 16 апреля, 2009 Почитайте http://www.kaspersky.ru/support/viruses/so...s?qid=208636281 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.