Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 04.11.2009, 12:04   #1 (ссылка)
Новичок
 
Регистрация: 04.11.2009
Сообщений: 7
Репутация: 0
Question Закрыт доступ ко всем антивирусным базам

webfile.ru/4056511

отчет логов.

Вирус запретил доступ ко всем антивирусным сайтам и портам.
Существует (сейчас нет, возможно удалил services.exe и cmd.exe)
Доступ к virusinfo.info запрещен.
На съемных дисках были autorun.inf , удалил на кпк.
Не доступно обновление антивирусных баз.
Не доступно в explorer.exe установить флажок просмотр скрытых файлов и папок,
Невозможно включить брандмауэр
mslsrv32.exe просит кудато подключиться (создан 30 окт), файерволом отклонен
Moorre вне форума  
Старый 04.11.2009, 12:21   #2 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moorre,
скачайте утилитку http://webfile.ru/3953491 Распакуйте.
Запустить программу .После автоматической экспресс-проверки нажать "Scan". После окончания проверки сохранить его лог (нажать на кнопку Save) и через файлообменник выложите сюда.
01pump вне форума  
Старый 04.11.2009, 12:25   #3 (ссылка)
Новичок
 
Регистрация: 04.11.2009
Сообщений: 7
Репутация: 0
По умолчанию

Я выложил все сразу в верхнем сообщении, логи от AVZ и GMER
Moorre вне форума  
Старый 04.11.2009, 12:32   #4 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Цитата:
Сообщение от Moorre Посмотреть сообщение
Я выложил все сразу в верхнем сообщении, логи от AVZ и GMER
Пардон уже вижу
01pump вне форума  
Старый 04.11.2009, 12:51   #5 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moorre,
Скачать http://exfile.ru/64410 и сохранить в одной папке вместе с утилиткой 1c23.exe Затем запустить этот скачанный файл moorre.bat Компьютер перезагрузится!!!
После перезагрузки удалить распакованную avz и затем из архива снова извлеките. Выполните в avz по инструкции (т.е. не меняя самостоятельно никаких настроек в утилите) стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip
01pump вне форума  
Старый 04.11.2009, 13:41   #6 (ссылка)
Новичок
 
Регистрация: 04.11.2009
Сообщений: 7
Репутация: 0
По умолчанию

Цитата:
Сообщение от 01pump Посмотреть сообщение
Moorre,
virusinfo_syscheck.zip
http://webfile.ru/4056743
Порты открылись, но не запускается ESET
Moorre вне форума  
Старый 04.11.2009, 13:50   #7 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Цитата:
Сообщение от Moorre Посмотреть сообщение
http://webfile.ru/4056743
Порты открылись, но не запускается ESET
Выполнить это

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\mslsrv32.exe');
 TerminateProcessByName('c:\ades.exe');
 DeleteFile('c:\ades.exe');
 DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\srcmon.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','System Resource Monitor');
 DeleteFile('C:\Program Files\Avira\AntiVir Desktop\avfwres.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Avira Firewall','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\mslsrv32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
ExecuteSysClean;
SetAVZPMStatus(True);
RebootWindows(true);
end.
И повторить стандартный скрипт №2 (virusinfo_syscheck.zip) и еще выполнить лог в hijackthis
01pump вне форума  
Старый 04.11.2009, 14:08   #8 (ссылка)
Новичок
 
Регистрация: 04.11.2009
Сообщений: 7
Репутация: 0
По умолчанию

webfile.ru/4056812

Eset firewall не запускается после перезагрузки
Moorre вне форума  
Ads
Старый 04.11.2009, 14:18   #9 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moorre,
Это c:\Rescue.bat ваш файл?
01pump вне форума  
Старый 04.11.2009, 14:30   #10 (ссылка)
Новичок
 
Регистрация: 04.11.2009
Сообщений: 7
Репутация: 0
По умолчанию

webfile.ru/4056857

хайджек лог


посмотрел свойства папки, все еще не получается поставить флажок "показывать крытые файлы и папки"

мой, я его создавал для подмены services.exe. менял имена загрузки в HKLM, которые не успел возвратить в исходный режим

---------- Добавлено в 13:33 ---------- Предыдущее сообщение было написано в 13:30 ----------

Брал отсюда


Рекомендации по удалению

Для ручного удаления программы следует выполнить следующие действия:

1. Создать файл c:\rescue.bat, содержащий такие строки:
@echo off
:try
del C:\WINDOWS\SERVICES.EXE
if exist C:\WINDOWS\SERVICES.EXE goto try
2. Изменить значение следующего ключа реестра:
[HKLM\System\CurrentControlSet\Services\Eventlog]
"ImagePath"="%SystemRoot%\system32\services.ex e"
На:
"ImagePath"="C:\rescue.bat"
Таким образом, вместо системной службы Event Log запустится созданный файл rescue.bat
3. Перезагрузить компьютер. После перезагрузки системы троянец будет удален.
4. Восстановить прежнее значение ImagePath:
[HKLM\System\CurrentControlSet\Services\Eventlog]
"ImagePath"="%SystemRoot%\system32\services.ex e"
5. Удалить следующие ссылки в реестре:

[HKLM\Software\Microsoft\Serenta]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SERVICES.EXE"="%Windir%\SERVICES.EXE"
6. Изменить значения следующих параметров:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\SERVICES.EXE"
На:
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,,%Win dir%\SERVICES.EXE"
На:
"Userinit"="C:\WINDOWS\system32\userinit.exe"
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Moorre вне форума  
Старый 04.11.2009, 14:37   #11 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moorre,
Запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующие строчки:
Цитата:
O23 - Service: Журнал событий (Eventlog) - Unknown owner - c:\Rescue.bat (file missing)
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
и нажмите FIX checked
Перезагрузиться и выполнить поновой стандартный скрипт №2 и лог hijackthis
01pump вне форума  
Старый 04.11.2009, 15:02   #12 (ссылка)
Новичок
 
Регистрация: 04.11.2009
Сообщений: 7
Репутация: 0
По умолчанию

выполнил, в архиве лог хайджек, AVZ и скрин сразу после загрузки. ошибка файерволла и обнаружено новое оборудование (не знаю какое, ничего не подключал), за исключением подключенного монитора к ноутбуку.

webfile.ru/4056944
Moorre вне форума  
Старый 04.11.2009, 15:30   #13 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Цитата:
Сообщение от Moorre Посмотреть сообщение
выполнил, в архиве лог хайджек, AVZ и скрин сразу после загрузки. ошибка файерволла и обнаружено новое оборудование (не знаю какое, ничего не подключал), за исключением подключенного монитора к ноутбуку.

webfile.ru/4056944
Через диспетчер устройств удалите это новое устройство. Это просто драйвер avz устанавливали.
Попробуйте все же переустановить (восстановить) Eset Smart Security через Установка и удаление программ.
01pump вне форума  
Старый 04.11.2009, 15:40   #14 (ссылка)
Новичок
 
Регистрация: 04.11.2009
Сообщений: 7
Репутация: 0
По умолчанию

Спасибо Вам большое! Переустановил Eset, работает, обновил базы данных без имени и пароля, потом обновлю по имени и паролю.
Скрытые файлы и папки так и не показывает, не знаю почему, видимо в реестре надо копаться.
Moorre вне форума  
Старый 04.11.2009, 15:48   #15 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Moorre,
Ой забыл про проводник
Выполните это
Код:
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true); 
ExecuteRepair(6); 
RebootWindows(true);
end.
И еще установите эти заплатки http://webfile.ru/3955291
01pump вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
закрыт достут xxxdomovoixxx Windows XP 3 27.10.2010 10:31
Закрыт доступ к папкам artifact Windows 7 12 03.09.2010 13:07
Закрыт доступ к локальному диску dennis021 Безопасность 6 13.08.2010 16:01
torenttino закрыт? Влад-и-мир Компьютерные новости 17 11.08.2010 11:33
Не обновляются базы Нод32 и нет доступа к антивирусным сайтам Varex Безопасность 2 19.05.2010 23:49
Проблема со всем компом (чудик) Неисправности, настройка 4 14.11.2009 09:11
привет всем Sprinter1986 Железо 1 18.12.2008 20:37
Привет всем Sprinter1986 Железо 12 10.12.2008 16:50
Привет всем! Наба Железо 8 10.12.2008 01:21
Привет всем!!! alkavegadyday Реклама, объявления 0 19.07.2007 07:27


Текущее время: 06:40. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.