VR

Batt После скрипта у тебя попрежнему наблюдаются эти симптомы? Нет доступа к сайту Касперского и отрубается инет Скачайте ComboFix и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt залей его на фтп Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Установи эти заплатки от майкрософт MS08-067, MS08-068, MS09-001

Batt Выполни скрипт AVZ (как выполнить скрипт в шапке) begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys',''); SetServiceStart('catchme', 4); QuarantineFile('C:\DOCUME~1\2180~1\LOCALS~1\Temp\catchme.sys',''); DeleteFile('C:\DOCUME~1\2180~1\LOCALS~1\Temp\catchme.sys'); DeleteService('catchme'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на фтп В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы Запусти KK.exe Сделай лог Gmer

Это от NET.Framework. Если подозреваешь заражения то сделай логи по правилам в шапке

Batt Лог чистый

BaroH Проблеммы остались? Логи чистые.

BaroH Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe',''); QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-6564363259-4644784263-812768325-0607\sysdate.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-6564363259-4644784263-812768325-0607\sysdate.exe'); DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe'); DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644241}'); DeleteFile('Src=C:\Install\ZverDVDSP3\I386\SVCPACK\AmlMaple.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\TGWVZYGN\dol4[3].exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\TGWVZYGN\dol4[2].exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\TGWVZYGN\dol4[1].exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\NW575GMH\dol4[2].exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\NW575GMH\dol4[1].exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\I50GWAU2\dol4[2].exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\I50GWAU2\dol4[1].exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CV85QKJ7\dol4[1].exe'); DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на фтп В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы Сделать лог AVZ (2й стандартный скрипт AVZ)

BaroH Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Music\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3',''); QuarantineFile('C:\Install\ZverDVDSP3\I386\SVCPACK\AmlMaple.exe',''); QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe',''); QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2645566809-6954963223-060911267-2491\sysdate.exe',''); QuarantineFile('C:\WINDOWS.0\system32\Drivers\TBPanel.sys',''); QuarantineFile('C:\WINDOWS.0\system32\drivers\TBPANEL.SYS',''); DeleteFile('C:\RECYCLER\S-1-5-21-2645566809-6954963223-060911267-2491\sysdate.exe'); DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe'); DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'); DeleteFile('C:\Install\ZverDVDSP3\I386\SVCPACK\AmlMaple.exe'); DeleteFile('C:\Music\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Профикси в HiJackThis O2 - BHO: ofalibP - {9606FB98-3AAE-42F5-8969-8ED7ADC267E9} - (no file) O9 - Extra button: (no name) - DctMapping - (no file) quarantine.zip из папки AVZ залей на фтп Обнови базы AVZ и сделать лог AVZ (2й стандартный скрипт AVZ)

BaroH HiJackThis лежит себе на фтп вот тут ftp://ggw.stbur.ru/incoming/USERS/D_Master/HiJackThis.exe качай Total Commander Если что вот сылка на внешке http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip

BaroH Скрипт пишется индивидуально для каждого случая по его логам. Чужие скрипты категорически запрещено выполнять Так что делай логи как написано в шапке темы, а потом уж посмотрим что у тебя

avatar Внимание !!! База поcледний раз обновлялась 10.06.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Пока только такой скрипт Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); QuarantineFile('C:\WINDOWS\gdrv.sys',''); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пофикси в HiJackThis (как фиксить - в шапке): R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [GEST] m‘|\ь quarantine.zip из папки AVZ залей на фтп Обнови базы AVZ и сделать лог AVZ (2й стандартный скрипт AVZ) Добавлено спустя 2 минуты 15 секунд: BaroH Я не понял ты выполнял чужой скрипт? Скрипты написанные для других запрещено выполнять, каждый скрипт индивидуален И еще не вижу твоих логов

Cummins Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DelBHO('{A2DA13D5-AC77-43b7-963B-40445EBCB8E0}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); DelBHO('{3049C3E9-B461-4BC5-8870-4C09146192CA}'); QuarantineFile('C:\Program Files\PRMT8\PRMTIE\prmtie5.htm',''); QuarantineFile('setupapi.exe',''); QuarantineFile('D:\windows\system32\ROLF-F~1.SCR',''); QuarantineFile('D:\RECYCLER\S-1-5-21-0169813095-2039408938-442079388-7197\sysdate.exe',''); QuarantineFile('spsa.sys',''); QuarantineFile('D:\WINDOWS\system32\Drivers\mchInjDrv.sys',''); DeleteFile('D:\RECYCLER\S-1-5-21-0169813095-2039408938-442079388-7197\sysdate.exe'); DeleteFile('D:\windows\system32\ROLF-F~1.SCR'); DeleteFile('setupapi.exe'); DeleteFile('C:\Program Files\PRMT8\PRMTIE\prmtie5.htm'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы quarantine.zip из папки AVZ залей на фтп Сделать лог AVZ (2й стандартный скрипт AVZ)

Не надо так категорично, далеко не все линии принадлежать ему, тодже Транстелеком

ZyXEL12m94*41 У тебя файловый вирусс Virus.Win32.Sality.aa тут AVZ не поможет скачайй Dr.Web LiveCD загрузись с него и произведи проверку компьютера

Как выполнить скрипт AVZ Как сделать лог gmer Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную пап-ку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунк-тов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{CFBFAE00-17A6-11D0-99CB-00C04FD64497}'); DelBHO('{FF6C3CF0-4B15-11D1-ABED-709549C10000}'); QuarantineFile('vgasys.fon',''); QuarantineFile('vgaoem.fon',''); QuarantineFile('vgafix.fon',''); QuarantineFile('C:\WINDOWS\System32\iprip2.dll',''); QuarantineFile('C:\WINDOWS\System32\ipbootp.dll',''); QuarantineFile('C:\WINDOWS\System32\igmpv2.dll',''); QuarantineFile('C:\WINDOWS\System32\hidserv.dll',''); QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\dmboot.sys',''); QuarantineFile('C:\WINDOWS\ALCMTR.EXE',''); QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE',''); QuarantineFile('C:\Program Files\DAP\DAP.exe',''); QuarantineFile('C:\Program Files\DAP\DAP.EXE',''); QuarantineFile('C:\WINDOWS\system32\drivers\dmboot.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\itmoo.sys',''); QuarantineFile('C:\WINDOWS\Temp\winwaid.exe',''); QuarantineFile('C:\PROGRA~1\DAP\dapie.dll',''); DeleteService('abp470n5'); StopService('abp470n5'); DeleteFile('C:\PROGRA~1\DAP\dapie.dll'); DeleteFile('C:\WINDOWS\Temp\winwaid.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\itmoo.sys'); DeleteFile('C:\WINDOWS\system32\drivers\itmoo.sys'); DeleteFile('C:\WINDOWS\system32\drivers\dmboot.sys'); DeleteFile('C:\Program Files\DAP\DAP.EXE'); DeleteFile('C:\Program Files\DAP\DAP.exe'); DeleteFile('C:\WINDOWS\ALCMTR.EXE'); DeleteFile('C:\WINDOWS\System32\Drivers\dmboot.sys'); DeleteFile('vgasys.fon'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы quarantine.zip из папки AVZ залей на фтп Сделай логи обычной AVZ, а так же лог gmer

Попробуй сделать логиполимофным AVZ

ZyXEL12m94*41 Некоторые вируссы препятствуют работы AVZ переменуй AVZ например в word.exe и запусти

ZyXEL12m94*41 У меня лично все открывается. Если не можешь зайти на первую страницу вот копия первой страницы Всем привет! Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете, что в вашей системе хозяйничают разные паразиты ), то не спешите переустанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени): 1. Скачайте сканеры HiJackThis* и AVZ 2. Перед запуском сканеров отключите Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок). 3. Закройте все активные приложения, включая антивирус и файрвол. Для полной уверености, что не накапает трафик, можете отключиться от Интернета, но в этом случае вы не сможете обновить базы AVZ. Оставьте включеным только браузер - чтобы читать данное руководство 4. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их. 5. Запустите AVZ. Обновите базы (Файл-Обновить базы). Затем выполните следующее: отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты. Выберите 3й скрипт ("Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info"). Нажмите "Выполнить отмеченные скрипты". После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) обязательно выполните перезагрузку компьютера. 6. После перезагрузки запустите AVZ. Выберите из меню Файл-Стандартные скрипты, поставьте галку напротив 2-го скрипта ("Скрипт сбора информации для раздела "Помогите" virusinfo.info") и нажмите "Выполнить отмеченные скрипты". 7. Запустите HijackThis. Внимание! Некоторые вредоносные программы блокируют запуск защитных приложений по имени файла! Если при запуске HiJackThis у вас выдается сообщение, что файл не найден, переименуйте файл hijackthis.exe в любой набор букв (например, asdaefdsfas.exe ). В появившимся окне с пользовательском соглашением, нажмите на кнопку "I Accept". Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог (в одной папке с программой). 8. Выложите на FTP файлы логов (zip файлы из каталога AVZ\LOG и заархивированый лог из папки HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.rar) и сообщите ссылку на архивы здесь. Внимание! Не добавляйте в архивы файлы, помещенные в карантин! *Примечание: Если HiJackThis не качается через браузер, то надо скачать его через Total Commander или любой другой FTP-клиент.

Batt Сделай еще лог gmer Добавлено спустя 15 минут 55 секунд: OLIGA В адресной строке любой папки пишешь следующий адрес ftp://ggw.stbur.ru/incoming/USERS/VR/ в открывшееся окно копируешь файлы и все ты залила файлы на фтп. После этого пишешь здесь что залила.

Batt Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Messenger', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe',''); DeleteService('vyolkpwhb'); StopService('vyolkpwhb'); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); DeleteFile('C:\WINDOWS\system32\01.tmp'); DeleteFile('C:\WINDOWS\system32\DkO122b0.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на фтп Так же выполни зайди Пуск--Панель управления--Назначенные задания и удали там всё назначенные задания. Скачайте ComboFix и сохраните на рабочий стол. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Выложи логи ComboFix Сделать лог AVZ (2й стандартный скрипт AVZ)

Batt Выполни скрипт AVZ (как выполнить скрипт в шапке) SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe',''); DeleteFile('C:\WINDOWS\system32\DkO122b0.exe'); DeleteFile('C:\Windows\Tasks\At1.job'); DeleteFile('C:\Windows\Tasks\At2.job'); DeleteFile('C:\Windows\Tasks\At3.job'); DeleteFile('C:\Windows\Tasks\At4.job'); DeleteFile('C:\Windows\Tasks\At5.job'); DeleteFile('C:\Windows\Tasks\At6.job'); DeleteFile('C:\Windows\Tasks\At7.job'); DeleteFile('C:\Windows\Tasks\At8.job'); DeleteFile('C:\Windows\Tasks\At9.job'); DeleteFile('C:\Windows\Tasks\At10.job'); DeleteFile('C:\Windows\Tasks\At11.job'); DeleteFile('C:\Windows\Tasks\At12.job'); DeleteFile('C:\Windows\Tasks\At13.job'); DeleteFile('C:\Windows\Tasks\At14.job'); DeleteFile('C:\Windows\Tasks\At15.job'); DeleteFile('C:\Windows\Tasks\At16.job'); DeleteFile('C:\Windows\Tasks\At17.job'); DeleteFile('C:\Windows\Tasks\At18.job'); DeleteFile('C:\Windows\Tasks\At19.job'); DeleteFile('C:\Windows\Tasks\At20.job'); DeleteFile('C:\Windows\Tasks\At21.job'); DeleteFile('C:\Windows\Tasks\At22.job'); DeleteFile('C:\Windows\Tasks\At23.job'); DeleteFile('C:\Windows\Tasks\At24.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.begin Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на фтп Сделать лог gmer и 2й стандартный скрипт AVZ

Очень интересно, а как с юриками? У меня есть знакомый админ крупной торговой сети, они ежемесячно гоняют по несколько сот ГБ по внутренней сети. И вот он узнал о этой новости от меня и тут же связался их ним юристом и юрист заявил что это однозначно нарушения контрактных обязательств. Неужели СТК хочет кинуть и таких абонентов?

Сделай логи после полной проверки компьютера для контроля.

Batt Да конечно делать.

buran А где логи AVZ? И почему ты стал делать логи ComboFix и gmer?