06.05.2010, 11:26 | #35 (ссылка) | |
Новичок
Регистрация: 06.05.2010
Сообщений: 1
Репутация: 0
|
Цитата:
|
|
10.05.2010, 11:18 | #36 (ссылка) |
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
Господа, не посчитайте совсем бестолковым, но у меня опять то же самое. Вчера было - я уж сам пофиксил, благо скрипты не сложные. Но сегодня опять то же самое - видимо, не убиваем мы его до конца что ли, не пойму. Я уже все обновления на xp поставил с windows update - все равно.
http://securityresponse.symantec.com...440-99&tabid=3 - это вот оно. Если не трудно, давайте еще раз попробуем, дальше уже сам разберусь. Я не пойму, в какой момент времени оно снова в реестре восстанавливает себя в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon переменные Shell и userinit http://exfile.ru/99452 - hijack http://exfile.ru/99454 - avz |
10.05.2010, 12:34 | #37 (ссылка) |
Знаток
|
Профиксите в HiJackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe thxr.wgo nwfdtx F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem326f57da90.exe,\?g lobalrootsystemrootsystem32DtaEfja.exe,\?globalrootsystemrootsystem32BrS Luu4.exe,\?globalrootsystemrootsystem32uzEg7V1.exe,\?globalrootsystemroo tsystem324ptqLK3.exe,\?globalrootsystemrootsystem32LDgyo9.exe,\?global 32qiDXXcB.exe,\?globalrootsystemrootsystem32eUEcjgp. ,\?globalrootsystemrootsystem32mjErtkz.exe,\?globalrootsystemrootsys 32NthzXxM.exe,\?globalrootsystemrootsystem32eTpyvbS.exe,\?globalroot 322Fae3Jx.exe,\?32Z0EPDlM.exe, ?32zP1VYdo.exe, Вот этот файл и выложите ссылку на отчет о файле на форум. C:\Distrib_games\l2 ini\system\system.dll ---------- Добавлено в 07:34 ---------- Предыдущее сообщение было написано в 07:32 ---------- Так же напишите чем из этого не пользуетесь. >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Последний раз редактировалось winshelp; 10.05.2010 в 12:51. |
10.05.2010, 14:34 | #38 (ссылка) |
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
Пользуюсь
Службы: разрешена потенциально опасная служба TermService (Службы терминалов) ---------- Добавлено в 13:34 ---------- Предыдущее сообщение было написано в 13:31 ---------- C:\Distrib_games\l2 ini\system\system.dll - virustotal загружен, я просто стер от греха весь этот каталог |
10.05.2010, 14:48 | #39 (ссылка) |
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.
1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe |
10.05.2010, 17:19 | #40 (ссылка) |
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
http://exfile.ru/99488 - combofix
|
Ads | |
12.05.2010, 22:01 | #43 (ссылка) |
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
Господа, вы будете уже сердится, но у меня снова выходит то же самое. И дело по моему в том, что вот значения в реестре которые мы фиксим, через сутки примерно откуда то снова восстанавливается. Не знаю откуда...
|
12.05.2010, 22:12 | #45 (ссылка) |
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
Логи сейчас сделаю. Но вот не заново схватил, чует мое сердце. Например - имена фалов, которые генерит вирус, должны быть одинаковые. Вот первый раз когда мы удаляли и второй - они были разные. Второй раз я даже момент поймал - выкинуло на порнушный сайт и тут же symantec заругался на вирусы Trojan.Sasfis - http://securityresponse.symantec.com...440-99&tabid=2, сами файлы поместил в карантин а вот реестр не почистил - оттуда и сообщения об ошибке при запуске. Но вот последние разы в реестре получаются строки, абсолютно идентичные - то есть с теми же именами файлов -
C:\WINDOWS\system32\6f57da90.exe,\\?\globalroot\sy stemroot\system32\DtaEfja.exe,\\?\globalroot\syste mroot\system32\BrSLuu4.exe,\\?\globalroot\systemro ot\system32\uzEg7V1.exe,\\?\globalroot и т.п. То есть как будто он просто откуда восстанавиливает эти ветки. Не может из System Restore? |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|