|
Net-Worm.Win32.Kido помогите очистить систему
Вложений: 1
Предыстория:
1) использовался касперский 7.0.0.125 примерно полгода. Неделю назад он обнаружил екзешники С:\E8KJ.exe и amvo.exe, удалить он их не смог, постоянно предлагал разрешить/запретить и откатить сделанные изменения. В итоге, перестали нормально открываться жесткие диски, невозможно включить отображение скрытых файлов и папок, куча каких-то непонятных процессов в таск менеджере, зависание компа. 2) Удалил Касперского, почистил систему при помощи PC Tools Spyware Doctor, он много всякого нашел, чегой-то удалил, но проблема с открытием жестких дисков и отображением скрытых файлов осталась. 3) Установил Avira Premium Security Suite, она нашла 177 вирусов/вредоносных программ, я вникать не стал, удалил все. Комп заработал намного лучше, но жесткие диски все так же нормально не открываются, и скрытые папки не отображаются. Сейчас стоит она же. "Диски нормально не открываются": или открывается окно с предложением выбрать программу, при помощи которой я хочу открыть диск (любой С, D, Е), или открывается в новом окне. Файлы autorun.ini я удалил. На данный момент: После выполнения скрипта №3 AVZ и перезагрузки диски стали открываться нормально, но появилась новая проблема: при щелчке ПКМ по файлу или при нажатии кнопки Delete на пару секунд запускается окно "Windows Installer... Идет подготовка к установке", потом исчезает и дальше все нормально работает. Плюс, по-прежнему не получается включить отображение скрытых файлов и папок (см. скриншот hidden.jpg). Заранее спасибо за помощь |
1) Прогони утилитой ComboFix.exe
Прогони систему утилитой Cure It. Воспользуйся интрументом CCleaner. Поищи ошибки в реестре. Бездумно не тыкай, глянь, что найдет. Не нужное удали. После чистки перезагрузись. 2) Переустанови Windows Installer http://www.microsoft.com/downloads/d...9-54d056d6f9f4 |
В HijackThis установите галочки перед значениями и нажмите "fix checked"
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeКод:
beginКод:
beginВсе логи нужно повторить. В AVZ Меню Файл -- Мастер поиска и удаления проблем. Запустите и исправьте найденные проблемы. Скачайте Flash Disinfector и запустите утилиту при вставленной флешке. Утилита вылечит неисправности с открытием дисков и создаст с корнях дисков и флешке папку autorun.inf для предотвращения распрастранения инфекции. Spyware Doctor следует удалить. Скачайте Malwarebytes' Anti-Malware здесь . Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). |
Вложений: 1
Severny, большое спасибо! Выполнил все, как было написано в письме. Ниже отчет:
1) в HijackThis не нашел "O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe", остальное пофиксил 2) в AVZ выполнил первый скрипт, он выполнился, но в конце написал: Invalid data type for ". Попросил AVZ проверить синтаксис - все норм 3) ссылка на карантин - в ПМ 4) новые логи прикреплены к этому сообщению 5) AVZ Меню Файл -- Мастер поиска и удаления проблем - исправил 6) Flash Disinfector - сделал, окно автозапуска больше не открывается 7) Malwarebytes' Anti-Malware - сделал скан, он нашел 4 файла, их я удалил (см. ниже отчет). Итог: 1. Скрытые и системные файлы стали отображаться. 2. Осталась проблема с появлением на пару секунд окошка Windows Installer при выполнении различных действий (удалить файл, нажатие ПКМ, также временами при работе в браузере). 3. Еще одна проблема - не перезагружается/выключается Виндовс. Если выбрал "Перезагрузка/Выключение", он доходит до "Завершение работы Windows..." на голубом фоне и так остается, мышью при этом я могу двигать. Перезагрузка из безопасного режима идет нормально. Так что приходится жать на Reset. Проблема появилась незадолго до сканирования AVZ для первого сообщения, но не из-за него. |
Попробуй выполнить скрипт
Код:
beginА после перезагрузку и данный скрипт. Если не поможет, то попробуй такой скрипт. Код:
begin |
Вложений: 1
Severny, большое спасибо!
При выполнении как первого, так и второго скриптов AVZ выдал в конце одно и то же сообщение: Invalid data type for ". Выполнение стандартного скрипта № 6 ничего не изменило. После выполнения скриптов до перезагрузки нельзя запустить ни одно приложение: "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту". Нормально перезагрузиться по-прежнему не удается. На "Завершение работы Windows..." все заканчивается. После выполнения скриптов во время "Завершение работы Windows..." выскочило сообщение об ошибке: svchost.exe - Ошибка приложения Инструкция по адресу "0x6f8917c2" обратилась к памяти по адресу "0x6f8917c2". Память не может быть "read". "ОК" - завершение приложения "Отмена" - отладка приложения После входа в Виндовс появилось сообщение об ошибке "Generic Host Process for Win32 Services" с предложением отправить отчет в майкрософт. Эти сообщения появились только два раза, после каждого из скриптов. Окошко Windows Installer при нажатии на ПКМ, или Delete, или какую-нибудь кнопку в браузере выскакивает нерегулярно. Бывает, что за весь сеанс работы в Виндовс ни разу не появляется. Новые логи прикреплены. |
Думаю, что неплохим вариантом будет:
0. Сохранить все нужные файлы с диска, на котором стоит система. 1. Скачать dr.web live cd. 2. Записать его на диск. 3. Найти нормальную сборку с ос windows xp или взять оригинальную версию. 4. Записать ее на диск. 5. Проверить, что оба диска являются загрузочными. 6. Отформатировать диск с сисетмой. 7. Сделать полную проверку системы при помощи dr.web live cd. 8. Установить Windows XP и радоваться жизни ;) ИМХО: Так будет намного быстрее, проще и эффективнее. |
kamapaka, У вас Outpost не дает AVZ отработать, деинсталлируйте Outpost, Spyware Doctor, отключите защитное ПО и повторите скрипт из поста 5, если снова появится сообщение: Invalid data type for ", уберите из скрипта 2-ю строчку
SearchRootkit(true, true); Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь или здесь Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском) Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Запустите AVZ. В меню AVZM выберите «установить драйвер расширенного мониторинга процессов», перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) |
Martia, предложение, конечно, дельное, вот только:
1. жалко мне Windows переустанавливать, это самый крайний метод 2. времени на борьбу с вирусами уже много потратил, хочется, чтоб не зря 3. работает Windows в целом очень даже неплохо 4. переустанавливать Windows я умею, а вот с вирусами правильно бороться - нет, хочу научиться, чтоб в будущем не наступать на те же грабли (вот, в ходе борьбы замечательный форум oszone нашел, к примеру). 2Severny, нашел еще негативные последствия вирусной и своей антивирусной деятельности: 1. компьютер не переходит в спящий/ждущий режим, то есть вообще никак не реагирует на такую команду 2. не отображается список программ в "Панель управления" - "Установка и удаление программ". 2Pili, спасибо! Будет теперь, чем заняться на выходных |
Вложений: 3
Pili, ниже отчет в хронологической последовательности:
1) Для удаления Outpost на сайте производителя предлагается утилита, которая запускается в безопасном режиме. Не смог загрузить безопасный режим - на экране быстро промелькали загружаемые файлы, потом черный экран и только мигающий курсор в верхнем левом углу. Ждал минут 5-7, ничего, перезагрузил, попробовал снова - та же история. Обычная загрузка работала превосходно. 2) Решил провести проверку ComboFix, отключил Outpost, но не удалил (не отображался список "Установка и удаление программ). ComboFix удалил файл C:\Windows\expiorer.exe (см. отчет ComboFix 1.zip), проблема с безопасным режимом осталась. 3) Психанул, достал уже установочный диск Windows Xp, но потом дал последний шанс: установил CCleaner, удалил кучу программ, в том числе и Outpost, оставил только самые нужные. Почистил реестр - CCleaner нашел 358 проблем, я согласился на исправление всех. После этого решились проблемы: - заработала перезагрузка (до этого все останавливалось на "Завершение работы Windows..."), - перестало появляться окошко Windows Installer, - стали отображаться программы в "Установка и удаление программ". У меня подозрение, что эти проблемы были из-за антивирусов, которые я ставил после удаления первоначального Касперского (НОД 32, Нортон, БитДефендер, Аваст) и которые из-за кривизны рук не удалил нормально/полностью из системы. 4) Попробовал загрузиться в безопасном режиме - опять мигающий курсор и ничего. К счастью, позвали пить чай, когда вернулся минут через 15, Windows все-таки загрузилась! Мне просто не хватало терпения (но до всех этих проблем у меня безопасный режим грузился минуты за две-три максимум), а тут больше 10. 5) Загрузился в безопасный режим, автоизвлечение SDFix закончилось сообщением об ошибке типа "невозможно найти файл ****installed.txt), извлек вручную, запустил проверку. Программа RestartIt зависла, я завершил ее через диспетчер задач, остался только черный фон без значков, перезагрузил Windows при помощи Ctrl+Alt+Delete - "Завершение работы" 6) После перезагрузки и входа в Windows SDFix запустился снова на голубом фоне, при выполнении "Running Catchme - Rootkit/Stealth Malware Detector" выскочило окно с сообщением об ошибке "Generic Host Process for Win32 Services" (см. скриншот). Нажал "не отправлять", после этого через какое-то SDFix перешел к "Remaining Files and Services" (вроде так) и так и остался с мигающим курсором. Подождал полчаса, перезагрузил комп. 7) Еще раз установил и попробовал удалить Outpost через безопасный режим, утилита clean.exe с сайта производителя отказалась работать и выдала ошибку, так что удалил вручную и снова почистил CCleaner'ом реестр. 8) Выполнил скрипт из сообщения №5 в AVZ: то же сообщение об ошибке Invalid data type for ". 9) Попробовал без строчки с Rootkit - тот же эффект. Выполнил стандартный скрипт №6, перегрузил комп - не помогло, все равно выдает сообщение об ошибке. 10) Выполнил в безопасном режиме SDFix, Программа RestartIt зависла, я завершил ее через диспетчер задач, остался только черный фон без значков, перезагрузил Windows при помощи Ctrl+Alt+Delete - "Завершение работы". После перезагрузки SDFix без проблем завершил проверку (см. отчет Report.zip). 11) Запустил установленный ранее Malwarebytes', выдало подряд два сообщения об ошибке: "Runtime Error 0" и "Runtime Error 440 Automation Error" (что-то вроде этого). 12) Удалил (в начале деинсталляции выдало те же 2 сообщения, но удалилось нормально). Установил заново, выполнил проверку - ничего не нашлось (см. отчет malware.zip). 13) Повторно просканировал при помощи ComboFix (см. отчет ComboFix.zip). Для этого запустил файл combo-fix.exe. 14) Установил драйвера расширенного мониторинга для AVZ, перегрузил комп, логи во вложении. |
Судя по логу combofix у вас очень много антивирусов и защитного ПО, DoctorWeb, Norton Internet Security, Spyware Doctor и пр., удалите лишнее и оставьте 1 антивирус
c:\windows\system32\drivers\TCPIP.SYS рекомендую заменить на оригинальный, winpcap если не требуется можете деинсталлировать. Папка c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP знакома? В реестре HKEY_USERS\S-1-5-21-1292428093-1563985344-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C9E06080-4E1D-03EE-9930-2C352F5462B1} - это что? Если не знакомо, можете сохранить эту ветку реестра и затем удалить. Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить». Код:
beginКод:
begin Если что-то из файлов в карантин не попадет, можете поискать файлы вручную через AVZ-сервис - поиск файлов и добавить в карантин или проверить файлы самостоятельно на virustotal.com Если скрипт будет снова выдавать ошибку, попробуйте выполнить в безопасном режиме такой скрипт Код:
beginСкачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению. Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. |
Вложений: 5
Pili, спасибо!
Отчет о проделанной работе: 1) на данный момент установлены Agnitum Outpost Firewall Pro Avira и Antivir Premium, все остальные программы (NOD, Norton Internet Security, BitDefender, Avast и т.д.) я ставил по одной и удалял перед установкой следующей, это все делалось до моего первого поста в этой теме - думал, что Windows я уже загубил, поэтому просто экспериментировал, что выбрать на будущее после переустановки Windows, но Avira смогла вылечить компьютер почти полностью. 2) для удаления остатков антивирусов зашел в эту тему http://forum.oszone.net/post-892208-1.html, но не смог зайти на сайты антивирусов, пишет сообщение типа "Вы попытались получить доступ к адресу http://www.eset.com/, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу. Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение." Пробовал IE, Opera, Firefox - безрезультатно. Примерный список сайтов, на которые не заходит: http://avirus.ru/ http://www.eset.com/ http://avast.com/ http://www.kaspersky.ru/ http://www.bitdefender.com/ http://www.virustotal.com/ http://www.symantec.com/ Без проблем заходит на сайт http://www.agnitum.ru/ Файл HOSTS содержит только строчку "127.0.0.1 localhost". Но название файла почему-то большими буквами HOSTS. 3) файл c:\windows\system32\drivers\TCPIP.SYS менялся для увеличение количества halfopen-соединений. Как его заменить на оригинальный? 4) Папку c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP удалил, по-моему, это осталось от установки антишпиона Lavasoft. 5) HKEY_USERS\S-1-5-21-1292428093-1563985344-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C9E06080-4E1D-03EE-9930-2C352F5462B1} - было две такие строчки, одну удалил, вторая теперь при выделении щелчком пишет "Не удается открыть {C9E06080-4E1D-03EE-9930-2C352F5462B1}: Ошибка при открытии раздела". Переименовать или удалить не получается. 6) выполнил скрипт при отключенном антивирусе, firewall и отключив Интернет (как и все предыдщие разы), в конце выдало ту же ошибку Invalid data type for ". 7) выполнил другой скрипт в безопасном режиме - та же ошибка в конце. Вопрос: какой из архивов карантина теперь выслать kaspersky? Тот, который после первого (я скопировал его в другую папку), или после второго скрипта? 8) новый лог прилагается 9) логи OTViewIt вложены (см. Extras.zip и OTViewIt.xip) 10) Gmer после экспресс-проверки выдал сообщение, что моя система "infected by Rootkit", предложил "fully scan". Я согласился (см. отчет gmer log .zip), но галочка стояла только на С, поэтому потом я запустил его еще раз и проверил все диски. Во время проверки выскочило окно с ошибкой gmer.exe с предложением отправить отчет (см. скриншот). Закрыл программу, запустил еще раз, на этот раз все диски просканировались без проблем (см. отчет gmer full.zip). |
Цитата:
Цитата:
Утилита удаления продуктов Лаборатории Касперского Norton Removal Tool посмотрите также Инструкции и утилиты для полного удаления остатков антивирусных ... Инструкции по расширенной деинсталляции и переустановке Outpost ... Что ответил вирлаб? Где логи? DNS сервера 193.24.25.1,193.24.25.250 - ваши? Сайты не открываются в любом браузере (Opera, IE, FF)? Outpost попробуйте временно удалить (в одной из недавних тем такая же проблема была связана с Outpost) Ещё у вас старая версия java 1.6.0_07 Скачайте JavaRA здесь или здесь Распакуйте, запустите, выберите "Remove Older Versions", Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage" Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя. |
Pili, по ссылкам
http://support.kaspersky.ru/faq/?qid=208635705 http://service1.symantec.com/SUPPORT...9?OpenDocument http://virusinfo.info/showthread.php?t=16646 я не могу перейти, выдает ошибку. Да, во всех браузерах. СТОП, сообразил: наверное, вы начали отвечать на мое первое сообщение. Я случайно отправил сначала неполное сообщение, потом отредактировал. Посмотрите, пожалуйста, мой пост № 12, теперь он полный |
Цитата:
Цитата:
Такое впечатление, что скрипт не выполнялся, вероятно Outpost снова мешает работе AVZ Цитата:
Там же в IceSword выберите в меню File, появится аналог проводника, найдите в нем указанные файлы Цитата:
У вас ещё появился сервис bjicqfhs, ссылается на C:\WINDOWS\system32\svchost.exe, по логам AVZ его нет, можете также посмотреть в IceSword (отключить сервис во вкладке Win32 Services) и проверить svchost.exe, также можно найти файлы, которые могли не попасть в карантин по скрипту AVZ Файлы также можно поискать и с помощью gmer, выберав вкладку Files. Файлы, которые определяться как вредоносные можно удалить с помощью IceSword (правой кнопкой мыши на файле - force delete) или gmer |
Pili, маленький инфо-апдейт:
выбрад в gmer опцию Disable bjicqfhs, после этого стали нормально открываться антивирусные сайты! |
Цитата:
Цитата:
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение Код:
Driver:: Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению Установите все обновления с http://windowsupdate.microsoft.com и в особенности этот патч, рекомендую отключить Netbios, включить встренный брандмауэр windows или закрыть сторонним файерволом входящие запросы на порты 445, 135-139 Сделайте новый лог gmer а также скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение |
Pili,
Цитата:
"В файле 'C:\WINDOWS\system32\ullfoek.dll' был обнаружен вирус или вредоносная программа 'WORM/Kido.CU' [worm]. Выполняемое действие: Поместить файл в карантин" Хотя вчера делал полную проверку Avir'ой, ничего не нашла. Теперь такой момент: поскольку я смогу наконец-то зайти на сайты антивирусов и полностью удалить их остатки из системы, то вопрос-уточнение: Надо ли мне сейчас также полностью удалить Outpost и Avira? И если да, то с какого поста начать тогда заново выполнение всех операций: с сообщения № 11 (http://forum.oszone.net/post-1003159-11.html) или №8 (http://forum.oszone.net/post-1001580-8.html)? |
Цитата:
Цитата:
CFScript.txt выполнили? Если да, д.б новый лог combofix, Установите обновления (пост 17), сделайте ещё новые логи gmer и DDS или RSIT, файлы из скрипта и из поста 15 проверьте на virustotal.com или virscan.org, можете сделать лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) |
Дело в том, что в результати деетельности вирусов(а их было очень много,как я понял) реально могли быть повреждены системные файлы, или при расположении вирусов в самих файлах-они вместе могли быть удалены в результате "спасательной апирации" каког небудь анти вируса......))
Если компу было очень плохо-не факт что даже качественное лечени ему поможет.......)) |
FATruden, Флудить закончил..
|
Вложений: 5
Pili:
1. Вчера выполнил скрипт ComboFix с файлом CFScript (см. отчет ComboFix.zip) 2. Установил обновления, после обновления выполнил проверку gmer, DDS и RSIT (см. отчет gmer.zip, Attach.zip и DDS.zip, RSIT.zip). 3. Отправил карантин на newvirus@...., ответ:, Тема: RE: [KLAN-19704513] Hello. No malicious software was found in the attached file. -------------------- Regards, Aseev Evgeny Virus Analyst 4. Проверил все файлы вручную на сайте virustotal.com: ullfoek.dll распознался 26 из 38, но я не могу его удалить через IceSword - после перезагрузки он снова появляется, 4 файла - 1 подозрение на вирус, см. далее. 4. За эти два дня 2 раза было сообщение об ошибке svchost и снова не открывались антивирусные сайты, через gmer блокировал bpbtvlptg и mxfrc - и все снова работало. 5. Сделал новый лог AVZ. |
|
Вложений: 2
Только что понял, что неправильно выложил логи RSIT. Исправляю ошибку.
|
Через gmer файл ullfoek.dll удалось удалить! По крайней мере, после перезагрузки он уже не появился.
|
Цитата:
Цитата:
Цитата:
временно выключите антивирус, firewall и другое защитное программное обеспечение Код:
File:: Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению сделайте новый лог gmer |
Вложений: 2
При помощи wwdc закрыл порты
Цитата:
ComboFix предложил обновиться, я согласился. Лог вложил. Лог gmer вложил. |
Кстати, пробовал позавчера AVZ (уже после удаления всех антивирусов и иже с ними) - все то же сообщение об ошибке: Invalid data type for ". То же при выполнении скрипта в безопасном режиме.
|
Цитата:
Цитата:
Сейчас интересует рез-т проверки C:\WINDOWS\system32\drivers\cdaudio.sys Попробуйте временно отключить AVPsys через gmer - Sevices, нажмите справа от вкладки Rootkit/Malware клавишу >>>, Выберите вкладку Sevices найдите AVPsys - disable и перезагрузитесь Цитата:
Проблемы ещё имеются? |
Цитата:
В принципе, проблем пока нет... Если не считать тех двух ошибок svchost за прошлые два дня из-за bpbtvlptg и mxfrc |
Цитата:
Можете удалить AVPsys пуск-выполнить- cmd.exe - sc delete AVPsys Цитата:
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u Запустите OTViewIt инажмите CleanUp! Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Создайте новую контрольную точку восстановления и очистите предыдущие: - Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить - Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать Цитата:
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus Регулярно ставьте обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы. По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" |
Pili, огромное спасибо! Вы просто спасли мой компьютер!
P.S. Может быть, стоит как-то переименовать тему, чтобы название было более информативным? А то я как-то уж слишком абстрактно ее назвал... |
kamapaka, у вас был Net-Worm.Win32.Kido, тему переименовал.
Чистого вам интернета! Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил |
| Время: 15:49. |
Время: 15:49.
© OSzone.net 2001-