Vvvyg

Лучше всё-таки сперва вылечить.

medmanmailru

через liveCD на ночь оставил, нашёл 9 каких-то угроз вылечил. Перегружаюсь в обычный режим нифга не вылечил, NOD опять находит:
Оперативная память » services.exe(928) - модифицированный Win32/Rootkit.Agent.NUS троянская программа - очистка невозможна
Оперативная память » C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini - модифицированный Win32/Sirefef.CH троянская программа - очищен удалением (после следующего перезапуска)
Как такое возможно не пойму.

safety

проверьте еще утилиткой tdsskiller
-------
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
------
если не поможет, тогда сканированием в Live.CD
http://forum.esetnod32.ru/forum9/topic1966/

medmanmailru

Skype по прежнему в "аморфном" состоянии т.е. логинится даже не пытается.... я бу же если б не неработающий скайп забил на этот вирус наверное.

---------- Добавлено в 08:31 ---------- Предыдущее сообщение было написано в 08:29 ----------

Уже раз 10 прогонял этой прогой.

safety

угу, посмотрел логи. не пролечивает до конца tdsskiller.
--------------
сделайте образ автозапуска по методу поиска руткитов
http://forum.esetnod32.ru/forum9/topic2729/
1. в активной системе создается файл сверки,
2. из под WinPe&uVS выполняется поиск скрытых объектов + создание образа автозапуска.

Vvvyg

Есть подозрение, что Вы ловите эту заразу снова и снова, т. к. система с SP2 уязвимая. Ставьте SP3, затем оффлайновый пакет Critical pre SP4 и все обновления по результатам выполнения скрипта проверки уязвимостей.

medmanmailru

не просветите откуда ловлю, учитывая что с загрузочного диска (считай как будто с другого компьютера) весь заражённый винчестер вроде как вычищаю, т.е. ОС не запущена и по идее процессы в ней не протекают....

Vvvyg

medmanmailru, если именно те файлы, которые находят Nod32 и TDSSKiller с загрузочного диска вычищаете - то ловите из интернета, скорее всего.

medmanmailru

может то что у меня на "с" диске болтается вторая винда xp, правда там кроме папки winows.0 уже вроде как ничего и нет, всё тупо нифт-делитом по удолял. даст новую информацию....

---------- Добавлено в 09:50 ---------- Предыдущее сообщение было написано в 09:45 ----------

-с livecd не вижу(или не знаю как увидеть) какие именно файлы лечит. вижу просто кол-во найденных.
- т.е. мой компьютер постоянно что-то атакует или находится в связке с чем-то раз из инета ловит, а какже все эти антивирусы фаер-волы ?

Vvvyg

Я не работал с этим LiveCD, поэтому подсказать не могу. И пока не поймём, вылечивается система с него, или нет, утверждать, что заражение происходит снова, нельзя.

safety

если используете Live.CD от ESET Russia, то там обычный русифицированный интерфейс антивира: ESET NOD32 4 for Linux Desktop.
Надо смотреть в служебных программах - журналы - журнал сканирования.

---------- Добавлено в 14:09 ---------- Предыдущее сообщение было написано в 14:07 ----------

единственно, что надо активировать расширенный режим в GUI антивира, для доступа ко всем настройкам и функциям.

---------- Добавлено в 14:10 ---------- Предыдущее сообщение было написано в 14:09 ----------

да, и не забываем, конечно, выполнить обновление баз, если образ iso несколько дней назад был скачан (обычно он с актуальными базами на текущий день)

medmanmailru

Госопда сижу с ноутбука(хорошо что взял с работы на выходные).

Причина - пришёл домой решил включить комп и ещё раз поискать и прочистить на вирусы через liveCD. Он искал нашёл две угрозы вылечил. Перегрузил я компьютер.

и ни могу не в инет залезть ни даже в модем (192.168.1.1). На рабочий стол при загрузке сразу выкидывает менюху с красным крестом под названием "mobile Devices Properties" которая гласит " The TCP/IP network transport is not installed" (это вроде от прогри ActivSync она у меня в автозапуске) EsetNOD тоже руганулся что что-то там с POP3 проверить не может т.к. связи нет ........... самое смешное вирусы никуда не делись опять находит.

P.S. Складывается впечатление что через LiveCD антивирус безбожно режет всё подряд незадумываясь о том что этот файл за что-то серьёзное отвечает, но нифига не лечит. Т.к. после первой его проверки отрубилась клава пришлось файл драйвера ,любезно предоставленный в этой ветке, опять копировать в папку drivers.

А тут видимо ещё более серьёзное удалил.... как исправить не знаете.? И что самое интересное вирус никуда не делся....

safety

в предыдущем сообщении было указано,
что необходимо сохранить логи сканирования, чтобы видеть, какой детект был у антивира.

про режет все подряд - это неверно. у ESET NOD32 мало бывает ложных срабатываний.

а вот если имеет место файловое заражение, тогда и нужны логи сканирования.

так что не держите нас в неведении. удалил 2 или 3 или 10 вирусов - это ни о чем не говорит. важно знать что именно антивир находит в системе.

medmanmailru

так как интернет востоновить на компьютере ?

---------- Добавлено в 22:12 ---------- Предыдущее сообщение было написано в 22:09 ----------

Nod вот что при загрузке пишет: Ошибка при загрузке прокси-сервера. Проверка протоколов уровня приложений(POP3 , HTTP) невозможна. Может тоже какой драйвер удолил? и надо просто чтобы кто-то поделился.?

---------- Добавлено в 22:17 ---------- Предыдущее сообщение было написано в 22:12 ----------

Как то же надо восстановить работоспособность, ноутбук завтра завезу и даже на связь не смогу выйти со своего. Да и как-то странно даже ПО IP адресу в можем залезть е могу. Ни то что к интернету не подключается у него вообще связь получается пропала.

---------- Добавлено в 23:00 ---------- Предыдущее сообщение было написано в 22:17 ----------

Через CDLive при поиске вирусов находит
как обычно в Desktop.ini Sirefef.CH
и в файле mrxsmb.sys находит Sirefef.DA

---------- Добавлено в 00:54 ---------- Предыдущее сообщение было написано Вчера в 23:00 ----------

в служебных программах-файлы журнала ничего после проверки нету. Зато во вкладке "карантин" написаны Desktop.ini Sirefef.CH
mrxsmb.sys может он их не лечит а в карантин ложит? но настроек программы действительно нету чтобы что-то поменять. Что делать понять не могу.

---------- Добавлено в 04:32 ---------- Предыдущее сообщение было написано в 01:54 ----------

С ноутбука на объект через флэшку покидал пару драйверов отвечающих за AFD и NetBios TCP/IP , их не было на заражённом, точнее не стало, антивирус(не ясно правда какой имено их снёс).... интернет заработал.
Поставил сервиспак 3 появилась иконка брэндмауэра красного цвета(до этого её не было т.к. я его отключил). Однако залезть не могу ругается что не включен ICS, соглашаюсь что надо включить в ответ пишет что не удаётся этот ICS запустить...

---------- Добавлено в 04:32 ---------- Предыдущее сообщение было написано в 04:32 ----------

С ноутбука на объект через флэшку покидал пару драйверов отвечающих за AFD и NetBios TCP/IP , их не было на заражённом, точнее не стало, антивирус(не ясно правда какой имено их снёс).... интернет заработал.
Поставил сервиспак 3 появилась иконка брэндмауэра(точнее центра обеспечения безопасности) красного цвета(до этого её не было т.к. я его отключил). Однако залезть не могу ругается что не включен ICS, соглашаюсь что надо включить в ответ пишет что не удаётся этот ICS запустить...

safety

если вы выполняете сканирование, то лог сканирования надо смотреть в служебных программах - журналах.


---------- Добавлено в 13:08 ---------- Предыдущее сообщение было написано в 13:03 ----------

после перезапуска Live.CD естественно логов предыдущего сканирования уже не будет.
т.е. необходимо отсканировать, посмотреть лог, что антивир находит, какие действия над объектами выполняет,
а лучше - экспортировать лог в текстовый файл, сохранить и добавить на форум.
--------
вполне возможно, что очистка выполняется просто удалением (это будет видно из лога), если нет актуального лечения ZAccess на данный момент.
-------
если нет лечения полезных драйверов, значит надо пробовать другой Live.CD или другой метод лечения.