san'OK Опубликовано 6 июня, 2009 Поделиться Опубликовано 6 июня, 2009 Ребят! Я уже не знаю что делать. Я уже и Касперским сто раз проверял и НОДом вот сейчас Вэб поставил - все равно живет этот Kido и никуда не девается. И Kido Killer использовал - безрезультатно. Последняя надежда на вас! Помогите! hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 7 июня, 2009 Поделиться Опубликовано 7 июня, 2009 Пофиксить в HiJack R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file) O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file) Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
san'OK Опубликовано 7 июня, 2009 Автор Поделиться Опубликовано 7 июня, 2009 Вот лог: gmer_log.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 июня, 2009 Поделиться Опубликовано 7 июня, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
san'OK Опубликовано 7 июня, 2009 Автор Поделиться Опубликовано 7 июня, 2009 Вот логи, которые просили: Report_SDFix.zip LOG_ComboFix.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 7 июня, 2009 Поделиться Опубликовано 7 июня, 2009 Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe gmer.exe -del service cthzjdvfj gmer.exe -del service fywcvu gmer.exe -del service qxjkvzjza gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cthzjdvfj" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fywcvu" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qxjkvzjza" gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cthzjdvfj" gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\fywcvu" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cthzjdvfj" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\fywcvu" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qxjkvzjza" gmer -reboot И запустите cleanup.bat Сделать новый лог gmer Выполнить все инструкции http://forum.kaspersky.com/index.php?showtopic=101154 2 Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 июня, 2009 Поделиться Опубликовано 7 июня, 2009 И проверьте на www.virustotal.com c:\windows\system32\63A777530C.sys c:\windows\system32\KGyGaAvL.sys Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: Driver:: lxgtg Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5778:TCP"=- FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. И лог Gmer не забываем. Ссылка на комментарий Поделиться на другие сайты Поделиться
san'OK Опубликовано 7 июня, 2009 Автор Поделиться Опубликовано 7 июня, 2009 (изменено) Файлы, который просил проверить akoK - не заражены. Все скрипты выполнил, вот новые логи: gmer_log1.rar LOG1_ComboFix.zip Изменено 7 июня, 2009 пользователем san'OK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 июня, 2009 Поделиться Опубликовано 7 июня, 2009 Включите встроенный фаерволл, зайдите в настройки (фаерволла) и убейте все исключения Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: NetSvc:: WmdmPmSNcthzjdvfj fywcvu qxjkvzjza kdbtrylbd Driver:: Folder:: Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. И повторите лог Gmer Ссылка на комментарий Поделиться на другие сайты Поделиться
san'OK Опубликовано 7 июня, 2009 Автор Поделиться Опубликовано 7 июня, 2009 Выполнил скрипт. GMER делает отчёт, но руткиты все равно найдены. Вот лог с КомбоФикс : LOG3_ComboFix.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 7 июня, 2009 Поделиться Опубликовано 7 июня, 2009 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0) включить бы. моя вина не сверстал скрипт как необходимо скрипт Включите встроенный фаерволл, зайдите в настройки (фаерволла) и убейте все исключения Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: Driver:: cthzjdvfj hlqzcn fywcvu qxjkvzjza Folder:: Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. И повторите лог Gmer 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
san'OK Опубликовано 7 июня, 2009 Автор Поделиться Опубликовано 7 июня, 2009 О! Спасибо огромное! Вроде бы все зловреды благополучно здохли )) Я проверился GMER - полет нормальный (деятельности руткитов нет)- отчеты нужны? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 8 июня, 2009 Поделиться Опубликовано 8 июня, 2009 Лог gmer сделайте, пожалуйста. Глянем на реестр Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 июня, 2009 Поделиться Опубликовано 8 июня, 2009 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Ссылка на комментарий Поделиться на другие сайты Поделиться
san'OK Опубликовано 8 июня, 2009 Автор Поделиться Опубликовано 8 июня, 2009 У меня проблема была со службами там. В общем, я убил Windows. Спасибо за помощь, жаль только что зря все это. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти