Как правильно вылечить?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как правильно вылечить? - 2010-03-19 18:30:48.903333
|
|
|
Onlineresource
Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
|
Впервые сталкиваюсь с подобной модификацией вируса!
Вобщем, трафик уходит безмерно!
Обновленные Dr.Web CureIt, KIS, antispyware, antiadware, и тому подобные результата не дали. В процессах все чисто, в автозагрузке ничего лишнего. Проследить трафик невозможно, службы не запускаются, в безопасный режим войти невозможно(в меню режимов клава отключается).
Незнаю, может кто сталкивался с подобной заразой? Или может сам автор этого гениального троя приоткроет нам секреты???))))
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-20 03:07:24.600000
|
|
|
Specialist
Сообщений: 142
Оценки: 0
Присоединился: 2010-01-29 22:37:36.383333
|
C live CD можно попробовать, и уже там пройтись. Если безрезультатно - "лечить" переустановкой.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-20 07:59:22.076666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Качаешь TCPVIEW, переименовываешь, запускаешь, смотрешь какая тварь качает траф, там же можно попытаться убить. Если там не убивает, но это процесс не виндосовский, LiveCD и гонишь тварь в шею. В случае svchost например, опять же LiveCD с autoruns на борту и смотришь службы, если не понимаешь сделай логи, скрины и выкладывай.
Ну если и так не прокатит, то вот reg восстановления сейвбута, ручками под LiveCD все что надо прописываешь, перезагружаешься сразу в сейфбуте, а там уже по ситуации думаю поцймешь. Ну AVZ в конце концов.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sharedaccess]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\UploadMgr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"
Это для XP если че.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-20 12:42:57.160000
|
|
|
Onlineresource
Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
|
Спасибо! TCPVIEW ничего не дал. при запуске все левые соединения разрываются и траф перестает уходить. после закрытия TCPVIEW, прохотит инут пять и все заново. AVZ молчит как рыба. Сейчас буду лив си ди пробовать… Аж самому интересно стало. Ltonid За код спасибо!
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-20 18:15:13.370000
|
|
|
mactep.Black
Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666
|
фаер стоит? если да - выцепляй соединение там.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-23 16:04:56.833333
|
|
|
Onlineresource
Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
|
Лив си ди не загружается… Круто!
quote:
фаер стоит? если да - выцепляй соединение там.
Нет не стоит, я понадеялся на встроеный фаер касперского… Вобщем касперский - дерьмо редкостное! У меня даже примитивный аваст никогда не запускал в комп таких серьезных троев.
Сейчас скачаю оутпост буду любить дальше.
PS
После сканирования десятками разных антивирусных и антиботных программ, которые не давали ни какого результата, наконец-то появилось в программах find404.com search engine которая не удаляется и следов от нее в компе тоже не нашел.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-24 22:13:05.503333
|
|
|
MiOR4iK
Сообщений: 20
Оценки: 0
Присоединился: 2010-03-18 00:19:00.630000
|
quote:
Нет не стоит, я понадеялся на встроеный фаер касперского… Вобщем касперский - дерьмо редкостное! У меня даже примитивный аваст никогда не запускал в комп таких серьезных троев.
Сейчас скачаю оутпост буду любить дальше.
Пользуюсь каспером два года, проблем никогда не было. Может нужно обновляться было почаще, а лучше приоберсти лицензию и использовать антивирь в полную силу.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-25 02:51:59.236666
|
|
|
Onlineresource
Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
|
quote:
ORIGINAL: MiOR4iK
Пользуюсь каспером два года, проблем никогда не было. Может нужно обновляться было почаще, а лучше приоберсти лицензию и использовать антивирь в полную силу.
Обновление автоматическое стояло. А на счет лицензии, теперь буду думать куда ее девать.
Ну а по поводу двух лет без проблем, так это кто как интернетос пользуется. Мне вот иногда приходится около ста тысяч сайтов в день открывать(ну регистрация в каталогах к примеру) вот так скорее всего и подцепил. А может и целенаправлено это сделали, тогда и сто лицензий не поможет. А касперский кстате меня уже не первый раз подводит… хотя и считается лучшим антивирусом.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-25 03:14:07.423333
|
|
|
Onlineresource
Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
|
Вобщем, загрузился с live cd. Прошелся из под live cd: AVZ, Avast, nod32… утилитами всякими, вручную немного, результата нет. Не помогло.
Поставил Outpost - траф съедает соединение под названием N\A процесс svchost заблокировал это соединение и соответственно заблокировался и сам выход в интернет, разблокирую соединение, появляется интернет, и начинает опять уходить траф. Полную ручную проверку файла svchost как мог сделал, результатов нкаких. Незнаю чего бы еще придумать, уже фантазия на эту тему заканчивается… Взять ее снести что-ли?
quote:
Ltonid
В случае svchost например, опять же LiveCD с autoruns на борту и смотришь службы, если не понимаешь сделай логи, скрины и выкладывай.
Вот единственное чего еще не попробовал так как в каличной сборке autoruns пообещали и не вставили.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-25 11:26:06.503333
|
|
|
AdReNaL1Ne
Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
|
Ест траф не сам svchost а зааттаченная к нему библиотека (предположительно троянская), прокси-сервер, как вариант. Так что вполне вероятно что твой комп стал частью какого-нибудь ботнета) Открывай ProcessExplorer и смотри на используемые библиотеки
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-26 20:11:59.063333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Добвлю как это сделать . Качай отсюда http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx Process Explorer . Запускай- смотри процессы svchost (их будет несколько)- щёлкай по каждому (ручками придёться перебирать) - В появившемся окошке вкладка Службы. Анализируй и думай. Это для начала.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-27 09:23:08.023333
|
|
|
Onlineresource
Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
|
quote:
ORIGINAL: zzsnn
Добвлю как это сделать . Качай отсюда http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx Process Explorer . Запускай- смотри процессы svchost (их будет несколько)- щёлкай по каждому (ручками придёться перебирать) - В появившемся окошке вкладка Службы. Анализируй и думай. Это для начала.
Да я-бы с удовольствием, только вот такие программы как autoruns и процесс эксплорер и подобные им, у меня просто не запускаются. Ну всмысле запускаются и через сикунду исчезают с экрана в никуда… сначала надо как-то с блоком этим разобраться.
А еще у меня возникли подозения что часть проблемы не у меня в компе, а в сети у моего интернет провайдера. Потому что когда я переставляю интернет на ноутбук, то outpost выдает тоже соединение N\A которое пытается хавать траф. Но на ноутбуке outpost это соединение успешно блокирует и интернет работает нормально. А вот на зараженном компе outpost блокирует весь интернет и по стравнение с ноутом на зараженном компе это N\A соединение, в сотню раз шире и мощнее.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-28 10:26:25.716666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Вообще-то любые действия по лечению компа необходимо выполнять по нарастающей.
1. Сначала сканирование в безопасном режиме с отключенной сетью. Это позовляет отключить лишинии процессы.
2. Потом, после сканирования в безопасномя, идёт пробный запуск в нормальном режиме, с отключенной сетью (ручками нужно отключать). Тут смотриться анализируется. И при необходимости, сканируется и настраивается.
3. Запуск машины с подключенной сеткой. Это уже последний этап.
Ты, судя по всему, пошел через заднепроходной метод. Путём от обратного. Попробуй начать сканирование и проверки в Безопасном режиме.
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-29 02:51:39.346666
|
|
|
Onlineresource
Сообщений: 215
Оценки: 0
Присоединился: 2010-01-14 11:38:00.393333
|
quote:
ORIGINAL: zzsnn
Попробуй начать сканирование и проверки в Безопасном режиме.
Уже несколько раз писал… прочти выше. В безопасный режим войти не могу. При выводе меню входа в безопасный ркжим отключается клавиатура. При загрузке винды включается обратно.(То есть я не могу войти в безопасный режим, т.к. по умолчанию корсор стоит на обычный вход в винду и отсчитывается время, для безопасного режима, в меню режимов надо пару раз нажать курсор в верх. В консоли выбора режимов клавиатура отключается, время отсчитывается и загружается обычная винда винда).
|
|
|
|
|
RE: Как правильно вылечить? - 2010-03-29 08:22:26.720000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
A клава USB видимо? Это ж насколько старая мать что не понимает usb клаву.
Давай тогда играть с чем есть.
quote:
TCPVIEW ничего не дал. при запуске все левые соединения разрываются и траф перестает уходить
Ну пусть работает, траф хоть жрать не будет))
Мы значем имя процесса, можно сдампить dll, а мы глянем.
Вот батник. Скопируй в блокнот и сохрани с расширением .bat
chcp 1251
tasklist /FI "IMAGENAME eq svchost.exe" /FO table /SVC > svshostSVC.txt
tasklist /FI "IMAGENAME eq svchost.exe" /FO table /m > svchostM.txt
tasklist /FO table /m > allprocess.txt
Рядом с батником появяться три файла svshostSVC.txt, svchostM.txt, allprocess.txt Их содержимое можешь или сюда скопировать, оформив в тегах ""[/code"] (безкавычек) или залить куда нить.
Подумаю, ещё допишу
|
|
|
|
|
|
