|
Заражен Net-Worm.Win32Kido.ih
День добрый! Помогите пролечиться. DrWeb CureLt вырубается, а установить Каспера не удается, т.к. сбрасывает подключение ко всем антивирусным сайтам. Протоколы прилагаю. Спасибо. И.
|
Сорри.
|
Сорри, плиз. ;)
|
Добрый день.
смортрю |
Уже сделала протокол через ComboFix, просил дважды перезагрузку, протокол прилагаю.
|
ESET Smart Security деинсталлировать
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
KillAll:: Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER приостановить их работу для корректной работы утилиты 1)Обязательно установите все 3 патча от MS: MS08-067 MS08-068 MS09-001 + к вышесказанным рекомендациям Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль) Отключите автозапуск программ с различных носителей, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Код:
Windows Registry Editor Version 5.00 |
Спасибо. Рабочий день закончился. Завтра отпишу о результатах. И.
|
День добрый!
п.1 Не нашла ESET Smart Security. Искала черех Панель управления, установка и удаление программ. Но ранее удаление этой проги делала, еще до установки Каспера. п.1 Скрипт выполнила. Протоколы (их два - первый - не сразу был отключен Каспер, поэтому повторила второй раз). Оба раза зависал при попытке перезагрузки. Сообщение дает и висит... п.3 выполнила. п.4 патчей от MS для моей ОС с установленным SP3 по данным сслылкам не нашла. п.5. п.6 выполнила. п.7 закончилось с ошибкой, но шибко не упиралась, т.к. комп пока не подключен к инету. Касперский установился и обновился на сей момент. Спасибо за быстрое реагирование. И. |
При попытке выполнить п.7 "Обновите Internet Explorer до IE8 , даже если им не пользуетесь" появляется сообщение об ошибке:
"Программе установки не удалось проверить целостность файла update.inf. Убедитесь,что на данном компьютере установлена служд\ба шифрования." Какие мои действия, что это сообщение значит? |
http://virusnet.info/forum/showthread.php?t=58 тема для чистки компа после удаления антивирусного ПО.
Внимательно прочитайте. c:\windows\regedit.exe проверить на http://www.virustotal.com ссылку на проверку, пожалуйста, приведите в своем следующем посте Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение если не получится сделать такой лог, тогда проверяемся kk.exe |
C gmer-ом мой косяк, отправила вам архив, который до этого скачала, чтоб получить утилиту. Исправлюсь.
п.1 выполнила п.2 вот ссылка (если правильно поняла вас) http://www.virustotal.com/file-scan/...d10-1296816246 п.3 (утилита gmer) еще работает |
Цитата:
Службы CryptSvc и Удаленный вызов процедур (RPC) должны быть запущены и работать в режиме авто повторить обновление браузера |
Прилагаю последний протокол утилиты gmer. Два файла, один протокол, который сделала утром и потеряла и второй, вечерний, с вашими утоснениями где и какие галочки надо поставить. И.
|
Попробуйте пуск - выполнить - services.msc
Службы CryptSvc и Удаленный вызов процедур (RPC) должны быть запущены и работать в режиме авто Служба CryptSvc - не запускается, Говорит "Ошибка 1053: Служба не ответила на запрос своевременно", а Удаленный вызов процедур (RPC) - "Состояние - работает". И. |
пуск - выполнить - cmd - ввести в комендную строку Tasklist /SVC > c:\Tasklist.txt нажать enter
c:\Tasklist.txt из корня диска С прикрепите к сообщению пуск-выполнить-regedit найти ветку Цитата:
и ветку Цитата:
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"  Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. |
День добрый! Спасибо за ответы.
Продолжаю выполнять ваши советы и прилагаю протоколы. п.1 - файл Tasklist.zip с сообщением "Служба не ответила на запрос своевременно. п.2 - файлы doc1 и doc2. Прилаганы скрины экранов, т.к. боюсь, что могу не все понять так, как надо, а по изображению вам будет понятно, правильно ли я все сделала. п.3, п.4 - выполнила. п.5 - файл mbam-log-2011-02-05 (10-43-46). И еще дополню, что после всех манипуляций, тестов и запусков утилит, которые вы советовали, появились дополнительные проблемы: 1. Ноут грузится очень долго 4-5 минут. 2. Пропали "Сетевые подключения" вообще. Думала проблема с дровами, переустаннавливала с сайта Asus-а самые последние версии. Прилагаю файл со скрином, где видно, что проблем в "Диспетчере устройств" нет. Но и сети тоже нет. 3. Через диспетчера задач видно, что даже если ноут не трогаешь и ничего не запущено, то процессор что-то грузит всплесками через 20-30 секунд до 50%, привожу тоже скрин с этой проблемой. Помогите! Т.к. хозяйка компа визжит, что отдавала рабочий ноут, только завирусованный, а теперь полные тормоза по работе, плюс Инет не работает. У меня слов не хватает, т.к. мы с ней на разных языках разговариваем, она меня не слышит. Спасибо. Буду ждать ваших рекомендаций с надеждой победить. |
Не поняла, куда делись остальные протоколы, поэтому дублирую.
|
Цитата:
Цитата:
Далее, выполняем твик реестра: скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Код:
Windows Registry Editor Version 5.00Сообщите о результатах |
Продолжаю.
по п.1 -выполнила - netsh winsock reset - скрин с результатами в одноименном файле. Перезагрузила компьютер. - выполнила - netsh int ip reset - скрин с результатами в одноименном файле. Перезагрузила компьютер. п.2 - выполнила твик реестра. Перезагрузила компьютер. Результаты: 1. Панель управления -> Сетевые подключения - скрин с результатами в одноименном файле. 2. Перезагрузка такая же долгая. 3. Диспетчер задач работает по такой же схеме, периодические всплески каких-то работающих процессов, кажется svchost.exe (SYSTEM) - в инете читала, что в эти процессы хорошо прописывается вирусня. 4. При попытке отключить "Восстановление системы" выдается сообщение о необходимости перзагрузки, скрин приводится в одноименном файле, перезагрузка результатов не дает. 5. Пыталась смотреть в журналы. Есть такое "Предупреждение". Мне это тоже ни о чем не говорит, может вам поможет для диагностики. скрин с результатами в одноименном файле. Что дальше делать не знаю, жду ваших рекомендаций. |
Еще где-то в инете встречала твик для редактирования реестра, который восстанавливает порядок запуска служб. Может его еще использовать. Я им пользовалась, когда у меня USB-устройства в "Проводнике windows" не отражались. Тогда помогло.
Уточняю: 1. Панель управления -> Сетевые подключения - скрин с результатами в одноименном файле. - И никаких "подключений по локальной сети" не отражается. Спасибо. Жду ваших рекомендаций. |
Скачайте Starter, логи вкладок (файл - сохранить как HTML)"Автозагрузка - все разделы" "Процессы" и "Службы" выложите сюда.
|
День добрый! Выполнила Starter, прилагаю протоколы.
От себя: 1. Удалила из "Автозагрузки" строку с "NodLogin C:\Program Files\ESET\ESET Smart Security\nodlogin.exe" с помощью этой программы, но скорость загрузки не поменялась. Ранее ESET Smart Security был установлен, потом деинсталлирован, и даже дополнительно вычищался с помощью утилиты, предложенной здесь на форуме. В настоящее время папка с именем C:\Program Files\ESET\ESET Smart Security\ воообще отсутствует. 2. Убирала галочку с элента "KernelFaultCheck %systemroot%\system32\dumprep 0 -k ", не знаю за что отвечает, но скорость загрузки все равно не увеличилась. 3. Пыталась через Starter запустить службу "Сетевые подключения" Заканчивается с сообщением "Служба не ответила на запрос своевременно (1053)". Такое чувство, что все службы при попытке запуска перехватываются каким-то левым процессом. и все вырубает. 4. Также не могу загрузить утилиту DrWeb Curelt, попробую сегодня скачать ее заново, о результатах сообщу. |
Добавлю, что свежескачанный DrWeb Curelt запустился и сейчас работает, о результатах сообщю.
|
После проверки Curelt повторите, пожалуйста логи AVZ+RSIT
|
|
DrWeb Curelt:
папка C:\System Volume Information - "Статус" Trojan.MulDrop1.51677 папка C:\Windows\System32\oobe - "Статус" Tool.Wpakill.2 Выполняю AVZ и RSIT |
Протоколы AVZ и RSIT прилагаю.
|
>>> Как закончите, выполните этот скрипт.
Скрипт выполнила, файл прилагаю. |
НЕ понимаю, что значит "Эти службы должны быть запущены:"
Я захожу в Starter, пытаюсь поменять статус службы с "Остановлена" на "Работает", через кнопку "Запустить", а мне выдает сообщение, что "Служба не ответила на запрос своевременно (1053)". Если можно, то поподробнее, что значит "Эти службы должны быть запущены:" Или как их запустить по другому? |
смотрю
|
c:\windows\regedit.exe восстановить с дистрибутива
c:\documents and settings\1\рабочий стол\123\pt8g4s7u.exe - DrWeb Curelt??? Отключите: Компьютер от интернета/локальной сети Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
beginПосле перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginприменить твик реестра: скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Код:
Windows Registry Editor Version 5.00 Код:
Windows Registry Editor Version 5.00 |
Цитата:
Через стартер сделайте ещё раз лог вкладки "службы". + содержимое ветки Цитата:
Запакуйте и приложите к теме. |
Для maniy77,
>>>c:\windows\regedit.exe восстановить с дистрибутива Не знаю, как правильно делается, да и ноутбук чужой, соответственно и дистрибутив тоже, под большим вопросом, что они (хозяева) что-либо найдут, ЕСЛИ МОЖНО, ТО дайте ссылку, как это вообще делается. >>>c:\documents and settings\1\рабочий стол\123\pt8g4s7u.exe - DrWeb Curelt??? ДА, это DrWeb Curelt. >>>Отключите: Компьютер от интернета/локальной сети Остается только улыбнуться. Я уже четвертый день борюсь за "Сетевые подключения", а их все нет, соответственно и отключать нечего. Скрипты AVZ при отключенном антивируснике выключила. Файл пыталась отправить, но сервис выдал следующее сообщение "Файлы quarantine.zip и/или virusinfo_cure.zip (другие недопустимы)". >>> Твики для реестра выполнила. Компьютер грузится также медленно. При попытке открыть "Сетевые подключения" уже нет сообщения об ошибке, но список чистый. Проблема с "Отключением восстановлением системы" остается таже. Какие мои дальнейшие действия? |
Цитата:
|
Для Katharsis,
>>> результата нет? Результата нет. Прилагаю протоколы. |
Спасибо за молниеносный ответ, но на этом ноутбуке нет "Сетевых подключений" и я не могу настроить интернет, а
"Пока не делайте замену а просто еще раз проверьте на http://www.virustotal.com" - это предполагет проверку файла в режиме онлайн, правильно? Для iskander-k, Может туплю, но принесла файл на флешке, сейчас запустила анализ на http://www.virustotal.com, результаты вышлю, но вы знайте, что все делалось через флеху. Вот ссылка http://www.virustotal.com/file-scan/...d10-1297095878 |
Цитата:
Выполните скачайте утилиту кидокиллер кк результаты выложите здесь Цитата:
подробнее |
Цитата:
и пока он не появится - ничего этого не будет. Вам давали твик для его создания, но он почему то не сработал, поэтому придётся создать его вручную. Откройте редактор реестра (пуск- выполнить - regedit) ещё раз найдите ветку Цитата:
Перезагрузитесь, проверьте результат. |
День добрый!
Для Katharsis: СПАСИБО. Получилось. Добавла и увидела "Сетевые подключения" и вышла в инет, и обновила базы и работает отключение "Восстановление системы". СПАСИБО. Осталось, надеюсь, немного. Преодолеть тормоза при загрузке Windows. Добавлю, что утилита kk.exe отработала, показала все "0" и в работающих файлах и в процессах, при подключенной флешке. Какие еще протоколы приложить, что была яснее картина? |
Для ускорения загрузки и работы системы выполните следующее:
1.проверка дисков. пуск - выплонить - вбить Цитата: Цитата:
2. проверка целостности системных файлов. Вставить диск с дистрибутивом. пуск - выплонить - вбить Цитата:
3. дефрагментация дисков. Пуск - программы- стандартные - служебные -дефрагментация. 4. вручную запустите службы, тип запуска которых отмечен как "авто" 5. Откройте папку C:\Windows\prefetch удалите файлы из этой папки, кроме Layout.ini - это немного ускорит загрузку. Добавтье в реестр: Цитата:
|
День добрый!
По п.1 дает "Тип файловой системы: NTFS/ Не удается заблокировать текущий диск. Не возможно выполнить команду CHKDSK, т.к. указанный том используется другим процессом. Следует ли выполнить провекрку этого тома при следующей перезагрузке... ЧТО ОТВЕТИТЬ? По п.2 - Запустила, но диск с дистрибутивом поставила левый, т.к. даже не догадываюсь, где родной. По п.3 - выполню, когда закончится п.2. По п. 4 - "вручную запустите службы, тип запуска которых отмечен как "авто" - это как правильно понимать? Я в службах найду все те, у которых тип запуска "авто" и переведу в режим типа запуска "в ручную", это потом будет срабатывать при каждом старте Windows??? А вдруг есть служба, кот. нужна для работы, а она не запуститься, короче, я до конца не понимаю, т.к. в этом не сильна. По п.5 выполнила. По п.6 - в реестр твик добавила, выполнила, перезагрузилась. ТОчно, что грузиться стал быстрее. |
Цитата:
Цитата:
|
CHKDSK работает.
по п.2 Все проверила, все, кто Авто, все работают. |
если все еще наблюдаются проблемы с сетью то давайте так попробуем.
1 запишите ваши ip dns и пр. из сетевых подключений если они прописаны, если автоматом то не надо, если не можете добраться до них тоже ничего страшного Со своей операционной системы запустите WinsockXPFix. А дальше следуйте рекомендациям по инструкции. Должно помочь. и еще скажите у вас в дисп. устройств видно, что драйвера на сетевую карту установлены? И вообще как вы подключаетесь к интернету. |
День добрый!
По команде chkdsk /f /r : вчера вечером запустила, он сразу тормознул на этапе 4 (stage 4 of 5) на 8 percent completed, далее рабочий день закончился, я оставила ноут включенным, утром увидела "Рабочий стол" Windows, сколько отрабатывала эта утилита сканирования, не знаю. Я не успокоилась. Утром снова запустила и такая картина: сразу тормознул на этапе 4 (stage 4 of 5) на 8 percent completed, повисел минут 30, пошел дальше сканироваться, потом повис на 17 percent completed, снова висит теперь уже 2 часа. Продолжает работать. Вопрос к специалистам может ли так долго сканироваться, объем жесткого диска 250Гб. п.2 проверка целостности системных файлов - sfc.exe /scannow . Вставить диск с дистрибутивом. Все сделала, sfc.exe /scannow - отработал очень быстро. п.3 дефрагментация дисков Не выполнила, т.к. дает сообщение о недостаточности свободного места на диске. Про службы уже писала. п.5 выполнила. Для Arbitr - еще не делала, т.к. с утра работает chkdsk. ВОПРОС к специалистам остается: может ли так долго сканироваться? |
CHKDSK идет уже 4,5 часа подвис на 4 шаге в состоянии 43%.
|
7,5 часов работала утилита chkdsk /f /r!!!!
|
Цитата:
Цитата:
|
У вас проблемы с вирусной активностью остались?
Что еще беспокоит? |
День добрый! Скорее всего проблем с вирусной активностью нет. По крайней мере явных. Протоколы Каспера и DrWeb чистые.
Спасибо всем за помощь. Много для себя узнала нового. Вопрос к Katharsis, : Соглашусь, что было, что исправлять, но не совсем понятно следующее. Исправляется раз и навсегда или "ненадолго". Т.к. писала, что первый раз запустила чекдиск с ключами /f /r и он работал ночь, второй был запущен на след.утро и работал весь день. Судя по описаниям утилиты должна работать 10 минут на здоровом винте. И этап 4 - это корректировка данных, а не физическая поверхность диска (Это мой вольный перевод результатов сканирования). Т.е. напрашивается вывод, что после перезагрузки компа снова разрушаются мои данные? Или это вопрос уже не в эту тему? Для Arbitr - сеть появилась и работает стабильно. Спасибо. Будем считать, что вопрос закрыт. Всем БОЛЬШОЕ спасибо, для себя нашла много познавательного. И. |
Цитата:
Можете проверить диск Выполните проверку жесткого диска, следуя рекомендациям статьи Проверка и диагностика жесткого диска. |
A_kitten, следуйте, пожалуйста, рекомендациям после лечения
Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- не работать за компьютером с правами администратора - при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. |
Перед применением Victoria или MHDD перенесите все важные данные с диска или создайте образ (резервную копию) всего жесткого диска
|
| Время: 17:34. |
Время: 17:34.
© OSzone.net 2001-