Page 1 of 2 12 LastLast
Results 1 to 25 of 42

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951

    Âàõ òàç ãàä [trojan/worm]

    Òàêàààà, â÷åðà íåùî ñå âìúêíà â êîìïà ìè. Ìîæå è ñúâïàäåíèå äà áåøå, íî ñòàíà òî÷íî êàòî öúêíàõ íà ëèíê êúì óèêèïåäèà â òåìàòà çà ïîðíîòî â Îáùè (âå÷å êàêòî âèæäàì çàòðèòà). Äàëè îò òåìàòà, äàëè îò ëèíêà, äàëè îò äðóãî, íî åé òâà å - àëàðìà ÷å ñúì áèë ïðàùàë ìåéëè ïî ðàçíè àäðåñè íà òåìà åðåêöèè è Âèàãðà.



    Ïðè Stop i Continue âåäíàãà ïàê èçñêà÷à ñúùîòî. Ïðè ñðåäíàòà (êîëêî ëîãè÷íî ïðåäâèä åñòåñòâîòî íà ìåéëèòå) îïöèÿ Find out èäâàìå òóê



    Êúäåòî Send íå ñúì ïðîáâàë, íî Stop è [X] íà ïðîçîðåöà ñàìî âðúùàò ïúðâèòå àëàðìè ãîðå. Ñêîðî ñëåä èíôåêöèÿòà ìè èçëåçå ñúîáùåíèå ÷å êîìïà ùÿë äà ñå ðåñòàðòèðà, è íàèñòèíà òàêà ñòàíà.

    Ïîñëå ïîñêàõ Spybot, DrWeb, Êàñïåðñêè îíëàéí ñêàí, hijackthis, ïî íÿêîëêî ïúòè, è ðåñòàðòèðàõ íàðî÷íî, â SafeMode è èíà÷å, ÷åòîõ ñòèêíàòàòà òåìà íà Èëêî. ×åòîõ è òàì èíôîòî íà Êàñïåðñêè çà àëàðìèòå äåòî ãè èçâàäè. Åòî òîâà ñà îò íÿêîëêî ïîñëåäîâàòåëíè ñêàíà ñ Êàñïåðñêè, êîèòî ðåäóâàõ ñ äðóãèòå èëà÷è:
    =============================
    http://www.viruslist.com/en/viruses/...virusid=161863
    http://www.viruslist.com/en/viruses/...virusid=151464
    http://www.viruslist.com/en/find?sea....Win32.Agent.l
    http://www.viruslist.com/en/find?sea...32.PolyCrypt.d
    http://www.viruslist.com/en/find?sea...32.PolyCrypt.d
    ==============================
    http://www.viruslist.com/en/viruses/...virusid=161863
    http://www.viruslist.com/en/find?sea....Win32.Agent.l
    http://www.viruslist.com/en/find?sea...32.PolyCrypt.d
    ==============================
    http://www.viruslist.com/en/find?sea....Win32.Agent.l
    http://www.viruslist.com/en/find?sea...32.PolyCrypt.d
    ==============================

    È avast ñè äðúïíàõ ïî ñúâåò îò åäèí íåìñêè ñàéò www.hijackthis.de êúäåòî ïóñíàõ ëîã îò hijaskthis çà àíàëèç.
    Òàêà ïîëîâèí äåí äî ñðåäíîù, è èçãëåæäàøå ïî÷òè ÷èñòî âå÷å. Åòî îùå øîò÷åòà. Avast äîêàòî ñêàíèðàøå ìè ïîäàäå åäíî 20-30 àëàðìè çà connections êîéòî êàçà äà ñúì ïðåêúñíåë, è óìîâè åòî òîâà ñúùî.





    DrWeb CureIt 2 ïîñëåäîâàòåëíè ïóñêàíèÿ è òîâà 319 ìàé îñòàíà ðåçèñòåíòíî òàì.




    Ñêàíà îò McAfee


    http://us.mcafee.com/virusInfo/defau...virus_k=137331

    SmitFraudFix ñúùî äðúïíàõ, íî íå íå ðàçáðàõ îò êîé ôàéë îò âñè÷êèòå ñå ñòàðòèðà. Ïðèëàãàì àðõèâ ñ ïî 4 ëîãà íà Êàñïåðñêè îíëàéí ñêàí è hijackthis

    Êàñïåðñêè è avast ãè ïóñêàõ ñàìî windows äèðåêòîðèÿòà äà ñêàíèðàò, è Program Files ïî âåäíúæ ìàé, íî òàì Êàñïåðñêè ìè ïîêàçà ñàìî îíîâà â ñúíäú÷åòî íà avast êîåòî å.

    È óæ ñå èç÷èñâàõà ãàäîâåòå, äíåñ äàæå àëàðìàòà âà McAfee è òÿ èç÷åçíà, è çà 3-4 ÷àñà ïàê - ðåñòàðòèðà ìè ñå áåç ïðåäóïðåæäåíèå äàæå ïðîèçâàëíî íà 3-4 ïúòè. Ïîñëåäíèÿ ïúò èçëåçå è òîâà.



    È ãî áëîêèðàõ IE6 (ñåãà îò FF ïèøà) ÷å ìàé èìà íåùî ñ òàÿ çàðàçà? Ïúðâî â÷åðà äîêàòî áÿõ ñ íåãî âúâ ôîðóìà ñàíà áåëÿòà, äíåñ àòàêàòà ñúùî òàêà ñå ïîäíîâè - êàòî ïîñòíàõ åäèí êîìåíòàð â òåìà - ïàê McAfee ïî÷íà äà ðåâå. (ôîðóìà ?!?)

    Spybot îò â÷åðà




    È äíåñ ïàê Spybot ñëåä ïîäíîâÿâàíåòî íà ïðîáëåìà

    Attached Files
    Last edited by thedivaka; 17th September 2007 at 00:01.

  2. #2
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Òåçè
    C:\WINDOWS\system32\drivers\smtpdrv.sys
    C:\WINDOWS\Temp\380.tmp
    îò Êàñïåðñêè ñêàíà, íå çíàì äàëè òàêà å ïðàâèëíî è äîêîëêî ïîìîãíà, íî ãè ìàõíàõ íàïðàâî. Òîâà â÷åðà áåøå, è ñëåä òîâà Êàñïåðñêè íèùî íå îòêðè ïîâå÷å.

  3. #3
    Registered User
    Join Date: Dec:2005
    Location: yvr
    Posts: 5,167
    1. Ñêàíèðàé çà ðóóòêèò ïîíå ñ 2 ïðîãðàìè çà öåëòà
    2. Êàòî ñìå ñèãóðíè ÷å íÿìà ðóóòêèò ñêàíèðàé ñ DrWeb CureIt è Ewido Micro è èç÷èñòè êàêâîòî íàìåðÿò, âíèìàâàé äà íÿìà çàðàçåí ôàéë êàòî explorer.exe è êàæå ÷å íå ìîæå äà ãî äåçèíôåêöèðà è ùå ãî òðèå
    3. Ïóñíè ëîã îò SilentRunners.vbs ïðåèìåíóâàí íà íåùîäðóãî.vbs

    Çà ëèíêîâå- ñòèêíàòàòà òåìà èëè google.

  4. #4
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Ìàëêî òðóäíà ñòàíà òàÿ áîðáà, ÷å ïî÷íà ÷åñòî äà ðåñòàðòèðà. Ïîíå óñïÿõ äà äðúïíà è ñêàíèðàì ñ avz i sophos anti-rootkit, ìàé íèùî ñúùåñòâåíî íå îòêðèõà. Ïîñëå êàòî âêëþ÷èõ ìîäåìà è äîðäå çàðåäè Ìîçèëàòà - ïàê ðåñòàðò. Åòî ìàëêî êàðòèíêè è ëîãà.
    Ñåãà ïðîäúëæàâàì ïî ò.2
    Attached Thumbnails Attached Thumbnails Click image for larger version. 

Name:	avz1.gif‎ 
Views:	121 
Size:	12.9 KB 
ID:	13847   Click image for larger version. 

Name:	avz2.gif‎ 
Views:	106 
Size:	35.7 KB 
ID:	13848   Click image for larger version. 

Name:	soh5.gif‎ 
Views:	102 
Size:	19.8 KB 
ID:	13850  

    Attached Files

  5. #5
    Registered User
    Join Date: Oct:2003
    Location: Ñîôèÿ
    Posts: 4,317
    Ïîâå÷åòî îáèêíîâåí çëîâðåäåí ñîôòóåð (íå ðóòêèò) å òúï. Çàðåäè îò íÿêàêâî CD è ïðîâåðè êîè ôàéëîâå ñà ñå ïðîìåíèëè ïðåç ïîñëåäíèòå 2 äíè. Åñòåñòâåíî, ìåñòèø ïîäîçðèòåëíèòå íÿêúäå íà áåçîïàñíî ìÿñòî (íå ãè òðèåø, äà íå ñå îêàæå, ÷å ñà ÷àñò îò Windows). Ñúùî òàêà ñè çàðåæäàø registry è ãëåäàø â ñòàíäàðòíèòå ìåñòà, îòêúäåòî ìîæå äà ñå ñòàðòèðà ïðîãðàìà íåâèäèìî çà ïîòðåáèòåëÿ. Àêî íå ãè çíàåø íàèçóñò, ïúðâî ñè ïóñíè Autoruns íà Microsoft/Sysinternals, àìà íå äîêàòî ðàáîòèø ñ Windows-à îò CD, çà äà ãè ïðîâåðèø è çàïèøåø.

  6. #6
    l.kanelov
    Guest
    Ïóñíè è åäèí ëîã îò AutroRuns òóê.

  7. #7
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Å òîâà AutroRuns ïîíå ãî íàïðàâèõ îäåâå, íî íèùî íå ìó ðàçáèðàì. Åòî äîëî ëîãà.

    ÏÏ:
    Òàêàààà, èìàìå çàïîäîçðÿí.
    Ïîñúâåòâàõà ìå îäåâå äà ïðîáâàì ñúñ spyware doctor. Êàòî òúðñèõ ñ ãóãëåòî ùî å òî è äå äà ãî íàìåðÿ, è êàòî êëèêíàõ íà ñàéòà ìó http://www.pctools.com/spyware-doctor/ (íå êëèêàéòå çà âñåêè ñëó÷àé) èçñêî÷è ìè îùå åäèí ïðîçîðåö íà IE, åòî òîâà:



    Ñúùîòî ñòàíà è â ìîìåíòà íà çàðàçàòà. Ñúùèÿ ïðîçîðåö ñúñ ñúùîòî ñúîáùåíèå ñå ÿâè ïàðàëåëíî ñ îòâàðÿíåòî íà äðóã ëèíê (êîèòî áåøå êúì íåùî â óèêèïåäèÿ).

    Òîÿ ñàéò http://www.pctools.com/spyware-doctor/ îùå êàòî ãî âèäÿõ òàêúâ ëúñêàâè÷úê



    ñå óñúìíèõ, ÷å è ïðåäè ñè ïàòèõ îò ëúñêàâè "äîêòîðè" äåòî âñúùíîñò ñà áàöèëè.

    Êàê äà å, äðúïíàõ ñè Spyware Doctor Starter Edition. Ïðè îïèò çà èíñòàëàöèÿ èíñòàëàöèÿòà âúðâè äî åäíî ìÿñòî è ñëåäâà ðåñòàðò.

    Ïàê (ïðè ñïðÿí ìîäåì è íå â SafeMode) ïðîáâàõ è ñ DrWeb - åé òîâà ñúùîòî Trojan.NtRootKit.319 ïàê ñå ÿâÿâà è óæ ãî ÷èñòè, ïðè ïîâòîðíà ïðîâåðêà ãî íÿìà, íî ñëåä ðåñòàðò ïàê å òàì.



    Ïóñíàõ è Sðyboot - ìàðêèðàíîòî å ïúðâàòà áèñêâèòêà äåòî íÿêîãà ìè å ïîäàâàëà òàÿ ïðîãðàìà êàòî íåùî ïîäîçðèòåëíî. Òîâà å ñåñèÿ íà FF êàòî åäèíèÿ îò òàáîâåòå áåøå èìåííî ñàéòà íà spyware doctor È êàê äà íå ãî ïîäîçèðàì, êàòî ñëåä êàòî õîäèõ íà òîÿ ñàéò ïðåç FF è òÿ çàïî÷íà ïðè îïèò çà âúçîáíîâÿ ïðåêúñíàòàòà îò ðåñòàðò ñåñèÿ, ìíîãî ñêîðî ñëåä òîâà ñúùî äà ìè ñå ðåñòàðòâà êîìïà ñëåä îòâàðÿíå íà FF, òà ñåãî ïàê ñúâ â IE.

    Attached Files
    Last edited by thedivaka; 17th September 2007 at 18:50.

  8. #8
    Registered User
    Join Date: Dec:2005
    Location: yvr
    Posts: 5,167
    Íå å òîâà, çàðåæè áèñêâèòêèòå. Èìàø ðóóòêèò, êîéòî ñêðèâà ÷àñòè îò âèðóñà, à àíòèâèðóñíèòå õâàùàò ñàìî ÷àñò îò ðåãåíåðèðàíèòå ôàéëîâå.
    Òàêà ñ ìíîãî ñêàíèðàíèÿ ñ êàêâè ëè íå ïðîãðàìè íÿìà äà ñòàíå.

    Çà ñêàíà ñ àíòèðóóòêèò ïðîãðàìèòå íå êàçà íèùî ñúùåñòâåíî, à òîâà å íàé- âàæíàòà ÷àñò, èíà÷å íèêîãà íÿìà äà ìàõíåø âèðóñèòå, èìàéêè ñêðèòè ïðîãðàìè, êîèòî ðåãåíåðèðàò ÷àñò îò ôàéëîâåòå.
    AVZ ÿ çàðåæè, äîñåãà êîëêîòî ïúòè ñúì ÿ ïðîáâàë íèùî íå å íàïðàâèëà.

    Ñêàíèðàé ïîíå ñúñ Sophos Antirootkit è Panda Rootkit èëè êàêòî ÿ áÿõà íàðåêëè. Gmer catchme ñúùî å âàðèàíò. Ñëåä êàòî ñè ñèãóðåí ÷å íÿìà íèêàêâè ðóóòêèò îñòàíàëè, òîãàâà ÷àê âå÷å ïóñêàø ëîã îò Autoruns ïðåèìåíóâàí (ñ hide microsoft entries è verify signatures îòìåòíàòè) èëè SilentRunners.vbs ïðåèìåíóâàí íà íåùî äðóãî. Íÿìà ñìèñúë äà ñêàíèðàø ñ áåçáðîé ïðîãðàìè, ñàìî ñè ãóáèø âðåìåòî.

  9. #9
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Äîáðå, ìåðñè!
    Sophos Antirootkit - àìè àç ïî-ãîðå ñúì àòà÷íàë ñêàíà îò äíåñ ñ íåãî. Åòî ãî ïàê

    Ñåãà ïàê ùå ïóñíà, è äðóãèòå êîèòî êàçâàø. Ðàçáðàõ àç ÷å èìà íåùî ðåçèäåíòíî è ìí ïîäëî, ùîì ÷àê è íå ìè äàâà äà èíñòàëèðàì Spyware Doctor; à ñåãà è ìèçåðèÿ íà äðóãà ïðîãðàìà ïðàâè - äðúïíàõ ñè SpySweeper - 3 ïúòè ñêàíèðà äî îïðåäåëåíî ìÿñòî è çàáèâà ïðîãðàìàòà, ñàìî ðåñòàðò íà êîìïà ÿ îïðàâÿ. Ìàëêî øîò÷åòà è îò òîâà.



    Ïðè îïèò äà ÿ çàòâîðÿ ïðåç òàñê ìåíèäæúðà

    È ìåíþòî é å òàêà, ñàìî restore é å àêòèâíî, íî è òî ÿ îòâàðÿ â "çàáèòî" ïîëîæåíèå.

  10. #10
    Registered User Dark Water's Avatar
    Join Date: Jul:2001
    Location: Âèåíà, Ñîôèÿ
    Posts: 505
    Çàùî íå ïðîáâàø äà çàðåäèø åäèí Linux è îò òàì äà ñêàíèðàø ñúñ anti-rootkit ñîôò? Ñïîðåä òîçè ñàéò http://www.antirootkit.com/software/index.htm èìà ïîíå 2 ïðîãðàìè çà Linux.

  11. #11
    Registered User
    Join Date: Dec:2005
    Location: yvr
    Posts: 5,167
    Ïóñêàø KillBox, ìàðêèðàø âñè÷êî â äîëíèÿò öèòàò è íàòèñêàø ctrl+c, îòâàðÿø KillBox-->File-->Paste from clipboard, èçáèðàø ðàäèî áóòîíà delete on reboot è íàòèñêàø ÷åðâåíîòî êðúã÷å ñ êðúñò÷å:
    Code:
    c:\windows\system32\drivers\ip6fw.sys
    c:\windows\system32\drivers\runtime.sys
    c:\windows\system32\drivers\runtime2.sys
    Ñëåä êàòî ðåñòàðòèðàø äúðïàø òàçè ïðîãðàìà, ðåñòàðòèðàø â Safe Mode è ñêàíèðàø ñ íåÿ, êàòî ðåñòàðòèðàø êîãàòî òè ïîèñêà:
    http://downloads.andymanchesta.com/R...ools/SDFix.exe

    Ñëåä êàòî ñâúðøè ïóñíè òóê ëîãà é (C:\SDFix\report.txt) êàêòî è ëîã îò SilentRunners.vbs

    Çà âñåêè ñëó÷àé îòíîâî:
    Quote Originally Posted by ilko
    Íÿìà ñìèñúë äà ñêàíèðàø ñ áåçáðîé ïðîãðàìè, ñàìî ñè ãóáèø âðåìåòî.

    @Dark Water- ïúðâî òåçè ïðîãðàìè ðàáîòÿò ïîä windows, âòîðî çà äà ñêàíèðàø çà ðóóòêèò ñèñòåìàòà òðÿáâà äà å ðàáîòåùà, ò.å. íåùî äà ñå êðèå çà äà ìîæåø äà ðàçáåðåø äàëè èìà íåùî ñêðèòî ÷ðåç òàêàâà ïðîãðàìà. Êàòî ñêàíèðàø îôôëàéí âñè÷êî å îòêðèòî è åäèíñòâåíèÿò íà÷èí äà õâàíåø ðóóòêèòñ å äà ñðàâíèø ðåçóëòàòèòå îò îôôëàéí è îíëàéí ñêàíèðàíå. Èìà ñè è ïðîãðàìêè çà öåëòà, íî íÿìà íèêàêúâ ñìèñúë äà ñå ïðàâè.
    Äðóãèÿò âàðèàíò å îôôëàéí ñêàíèðàíå ñ ðàçëè÷íè àíòèâèðóñíè, êîèòî âñå ïàê èìàò â äåôèíèöèèòå ñè âúïðîñíèòå ôàéëîâå. À äàëè ùå ãè èìàò ãàðàíöèÿ íÿìà.

  12. #12
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Ñíîùè ïóñíàõ ïúðâî Gmer catchme, åòî ëîãà é.

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net
    scanning hidden processes ...
    scanning hidden services ...
    HKLM\SYSTEM\CurrentControlSet\Services\. NETFrameworkorking
    HKLM\SYSTEM\CurrentControlSet\Services\A avmker4eworkorking
    ....................
    HKLM\SYSTEM\CurrentControlSet\Services\W ZCSVCrvpySweeperServicebility
    HKLM\SYSTEM\CurrentControlSet\Services\x mlprovvpySweeperServicebility
    scanning hidden autostart entries ...
    scanning hidden files ...
    C:\WINDOWS\system32\drivers\runtime2.sys 36864 bytes
    scan completed successfully
    hidden processes: 0
    hidden services: 302
    hidden files: 1
    Âå÷å çàïîäçðÿõ ãî òîâà runtime2.sys, òàì â drivers íÿìàøå òàêîâà íî èìàøå åäíî ñúñ ñúùèÿ ðàçìåð â áàéòîâå - ati2erec.dll - èçòðèõ ãî (çà âñåêè ñëó÷àé ãî rar-íàõ ñ ïàðîëà è ïðåìåñòèõ) Ìàé íÿìàøå ôàéäà çàùîòî ïîñëå ïàê Sophos (íîðìàëíî è â safe mode) ïàê ïîêàçà runtime2.sys, è â íîâèÿ ëîã íà catchme ñúùî ïàê ãî èìà.
     Sophos íå ñúì òðèë íèùî - òî ñàìî rintime2.sys å äîñòúïíî çà òðèåíå òàì, íî ìè êàçâà çàùîòî íå áèëî ïðåïîðú÷èòåëíî, çàòîâà íå ãî ìàõíàõ, àìà ìàé òðÿáâàøå?



    Ñåãà òîâà äåòî êàçâàø KillBox - äðúïíàõ ãî, íî íå çàöåïâà è òî. Ïúðâî êàòî ãè êîïèðàì 3-òå ðåäà, âòîðèÿò âúîáùå íå ñå ïåéñòâà â ïðîãðàìêàòà, ïîñëå åé òîâà ñúîáùåíèå. Ïðîáâàõ è ðåä ïî ðåä - çà ïúðâèÿ è òðåòèÿ ñå ïåéñòâàò, íî ïàê èçëèçà ñúùîòî ñúîáùåíèå, à âòîðèÿò âúîáùå íå ãî ïðèåìà ïðîãðàìàòà äà ãî ïåéñòíà (èíà÷å ïðèìåðíî â notepad ñå ïåéñòâà).


    È àç íå èñêàì äà ñè ãóáÿ âðåìåòî ñ ìí ïðîãðàìêè, íî òàÿ ãàä å ìí óïîðèòà.
    Äàæå òóê âå÷å ïèøà â notepad è ïîñëå ïåéñòâàì âúâ ôîðóìà, ÷å íå çíàì êîãà ùå ìó ñêèìíå äà ìå ðåñòàðòèðà. À êàòî ïî÷íàò äà ðåâàò åäíîâðåìåííî McAfee avast i SpySweeper ñòàâà ãîëÿì öèðê.

    ÃÐÅØÊÀ, ãîðå íà KillBox ñúì ìàðêèðàë îäåâå ãðåøåí áóòîí. Ñåãà ìàé ïîòðúãíàõà íåùàòà, ïðîäúëæàâàì ñúñ SDFix.exe
    Attached Files
    Last edited by thedivaka; 18th September 2007 at 10:29.

  13. #13
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Åòî, ñëåä KillBox - òÿ ðåñòàðòèðà, ïîñëå äðúïíàõ SDFix è SilentRunners
    Â safe mode SDFix - èíñòàë, è ñêàí, ëîãà ãî çàïèñà íà äåñêòîïà, äàæå è ãî çèïíàõ çàåäíî ñ runtime2.sys
    Ïîñëå SilentRunners òðúãâà íî äàâà ñúîáùåíèå çà ãðåøêà
    Âñå ïàê è òÿ çàïèñâà íÿêàêâè txt ôàéëîâå.
    Attached Thumbnails Attached Thumbnails Click image for larger version. 

Name:	SRerrormessage.gif‎ 
Views:	83 
Size:	8.2 KB 
ID:	13863  
    Attached Files

  14. #14
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Òàêà
    safe mode
    KillBox - paste i delete on reboot
    KillBox ðåñòàðòèðà
    ïàê safe mode
    SDFix - bat ôàéëà
    ïîèñêà äà ðåñòàðòèðàì, è êàçà ÷å ùÿëî äà ïðîäúëæè ñëåä ðåñòàðòà
    ðåñòàðòèðàõ íî íå ãî âêàðàõ ïàê â safe mode äà íå ïðåöàêàì ïðîäúëæåíèåòî ìó
    SDFix ñè çàâúðøè è íàïðàâè ëîã
    SilentRunners - ïàê çúâúðøè ñúñ ñúùàòà ãðåøêà êàòî ãîðå.

    Òîâà çà bat ÷å òðÿáâàøå äà ïóñíà îò SDFix ïàïêàòà îùå îäåâå ãî ðàçáðàõ, è ãî ïóñíàõ, íî ïî íÿêîå âðåìå ïðåäè äà çàâúðøè ïàê ðåñòàðòíà êîìïà.

    ÏÏ:
    Ïóñêàõ è Sophos ñåãà - îíèÿ íåùà âå÷å èçëèçàò òàì. Íî â DrWeb ïàê ñå ÿâÿâà îíîâà Trojan.NtRootKit.319 È âñúùíîñò ïðîáëåìà ñè ñòîè (ñàìî ëåêî ñå èçìåíè subject-à - ïðåäè áåøå çà åðåêöèè, ñåãà çà òðóäîâî çàêîíîäàòåëñòâî)
    Attached Files
    Last edited by thedivaka; 18th September 2007 at 16:56.

  15. #15
    Prolemuris
    Join Date: Oct:2006
    Location: Varna
    Posts: 4,296
    Èçâèíÿâàì ñå çà ãëóïàâèÿ è âåðîÿòíî èçëèøåí ñúâåò íî ïî ìîå ñêðîìíî ìíåíèå å âðåìå äà ñè ïðåèíñòàëèðàø Windows-à. Òîçè äîðè è äà ãî äèãíåø íà êðàêà å òâúðäå âåðîÿòíî äà å çàáîçÿë.

    P.S. Íå òâúðäÿ ÷å êîìïþòúðúò ñå å ñêàïàë - ïðîñòî èçðàçèõ ñúìíåíèå ÷å Windows-úò ùå å ÷èòàâ äîðè àêî ÷åðâåèòå/ðóòêèòîâåòå ñå î÷èñòÿò
    Last edited by vbdasc; 18th September 2007 at 21:06.

  16. #16
    Registered User
    Join Date: Dec:2005
    Location: yvr
    Posts: 5,167
    SDFix å ñâúðøèë ãîëÿìà ÷àñò îò ðàáîòàòà, ïóñíè ãî ïàê â Normal mode è ïóñíè ëîãà òóê.
    SilentRunners ëîãà å íåïúëåí, äàëè çàùîòî êðàøâà èëè íå ãî èç÷àêâàø äîñòàòú÷íî äúëãî (òðÿáâàò ìó íÿêîé ïúò ñî 3-4 ìèíóòè äà çàâúðøè) íÿìà çíà÷åíèå.
    Ïóñêàø Autoruns, íàòèñêàø ESCAPE êëàâèøà, ìàðêèðàø â options-> hide microsoft entries è verify code signatures, íàòèñêàø F5 èëè áóòîíà refresh (ìúíè÷úê å) òî ÷àê òîãàâà file->save as

    Ïóñíè òåçè 2 ëîãà.

    Ïóñêàõ è Sophos ñåãà - îíèÿ íåùà âå÷å èçëèçàò òàì.
    Äà ðàçáèðàì ÷å âå÷å ãè íÿìà è íå íàìèðà íèùî, òàêà ëè?
    Îùå íåùî- â ìîìåíòà è Àâàñò è Ìêàôåå ëè ñà àêòèâíè? Àêî å òàêà çàäúëæèòåëíî ìàõíè åäíàòà îò äâåòå, îò SpySweeper ñúùî íÿìà íóæäà, ñàìî ùå çàáàâèø ñèñòåìàòà.


    vbdasc- íèùî ìó íÿìà íà êîìïþòúðà
    Last edited by ilko; 18th September 2007 at 21:04.

  17. #17
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Äîáðå, ìåðñè! Ùå ñëåäâàì èíñòðóêöèèòå îò ãîðíèÿ ïîñò.
    Ñàìî äà êàæà êàêâî ïðàâèõ äî ìîìåíòà, è êàêâî å ïîëîæåíèåòî. Ïîëîæåíèåòî êàòî ïðîÿâè ïðîìÿíà íÿìà - ïàê èçëèçàò àëàðìèòå çà ìåéëè è ðåñòàðòâà ïðîèçâàëíî.
    Ñêàíèðàõ îíëàéí ñ F-Secure Online Scanner îò òâîÿòà òåìà. 2 ïúòè ïóñêàõ ñêàí íà windows ïàïêàòà íî íå ìîæà äà çàâúðøè çàðàäè ïðîèçâàëíèòå ðåñòàðòè. Òðåòèÿ ïúò ñêàíèðàõ ñàìî system32 - ïîäàäå ìè 24 îáåêòà.

    1-18 áÿõà âñå tracking cookie, äðóãèòå - åòî íà ïîñëåäíàòà êàðòèíêà. Òðúãíà äà ãè ÷èñòè ñòèãíà äî 8-ìîòî è ïàê ðåñòàðò
    èç-áåñ-íÿõ
    sophos îäåâå ïîäàäå åäèí txt ôàéë ñ ïîðòóãàëñêèÿ åçèê íà everesta, èçòðèõ ãî, è ïîñëå ïàê ãî ïóñíàõ è íèùî âå÷å íå îòêðè òîãàâà. Íå ãî ñïîìåíàõ ãîðå çàùîòî íå ìè ñå âèäÿ âàæíî. òîÿ ôàéë ïðåäè íå ãî ïîäàâàøå êàòî èçëèçàõà äðóãèòå äåòî âå÷å ãè íÿìà.


    vbdasc, àêî áåøå ñàìî çà win äà ïðåèíñòàëíà, àìà òîëêîâà ïàïêè ñ íàñòðîéêè èìàì è ñè çíàì ãîðå äîëó êîå êúäå å, è òîëêîâà ïðîãðàìè ïîñëå è íà òÿõ ïðåèíñòàë. Ïúê è ïîâå÷å ìè äîïàäà èäåÿòà ãàäîâåòå äà áúäàò ïðåáîðåíè.

    ÏÏ:
    Ñàìî äà äîáàâÿ ðàïîðòà îò îíëàéí ñêàí ñ F-Secure Online Scanner - òîÿ ïúò óñïÿ äà çàâúðøè è êàçà ÷å ñâúðøèëî ðàáîòà, òðèëî òàì áàöèëè.
    È autoruns ðåïîðòà.
    Last edited by thedivaka; 18th September 2007 at 21:58.

  18. #18
    Registered User
    Join Date: Jul:2001
    Location: Ñîôèÿ
    Posts: 10,937
    Quote Originally Posted by thedivaka View Post
    vbdasc, àêî áåøå ñàìî çà win äà ïðåèíñòàëíà, àìà òîëêîâà ïàïêè ñ íàñòðîéêè èìàì è ñè çíàì ãîðå äîëó êîå êúäå å, è òîëêîâà ïðîãðàìè ïîñëå è íà òÿõ ïðåèíñòàë. Ïúê è ïîâå÷å ìè äîïàäà èäåÿòà ãàäîâåòå äà áúäàò ïðåáîðåíè.
    óì öàðóâà, óì ðîáóâà, óì ïðåèíñòàëèðà, óì ñ âÿòúðíè ìåëíèöè ñå áîðè :~)

  19. #19
    Registered User
    Join Date: Dec:2005
    Location: yvr
    Posts: 5,167
    @thedivaka

    Íÿìàì ïðîòèâ äà òè ïîìàãàì äà ãî äîâúðøèì, íî ïðîäúëæàâàø äà íå èçïúëíÿâàø êàêâîòî òè ïèøà, à ïî òîçè íà÷èí ìå îáúðêâàø è äâàìàòà ãóáèì âðåìå, àç äà ïèøå åäíè è ñúùè íåùà ïî íÿêîëêî ïúòè, òè äà ñêàíèðàø ñ êàêâè ëè íå ïðîãðàìè. Íå ñå ïðèòåñíÿâàé, âçåë ñúì òåìàòà ïðèñúðöå è íÿìà äà òå èçîñòàâÿ
    Â ìîìåíòà íå çíàì êîå êîãà ñè ïóñêàë è íÿêîè ôàéëîâå, êîèòî ñëåäÿ äàëè ñà èçòðèòè íå çíàì äàëè ñà îò íÿêîÿ ïðîãðàìà, èëè ñà ñêðèòè îòíîâî.

    Ïîìîëèõ òå äà ìàõíåø èëè McAfee èëè Avast, êàêòî è Spyware Sweeper, ñúùî è äà ïóñíåø îòíîâî SDFix è ëîãà é òóê. Ðåñòàðòèòå â ìîìåíòà åäâà ëè ñà îò âèðóñ, ëîãà èçãëåæäà ïî÷òè ÷èñò, îñâåí àêî íÿìà âñå îùå íÿêîé ðóóòêèò êðèåù íåùî. Çà òîâà ìè òðÿáâà è ëîãà îò SDFix.
     äîïúëíåíèå íà òîâà ðàçðåøè ïîêàçâàíåòî íà ñèñòåìíèòå è ñêðèòè ôàéëîâå è â äâåòå ïàïêè c:\windows è c:\windows\system32 ïîòúðñè è èçòðèé âñè÷êè .tmp ôàéëîâå.

  20. #20
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Èëêî, àç ÷å ñå îøàøàâèõ ñ òèÿ çàðàçè, äà, àìà âñå ïàê òóê äåòî ïèøà íåùàòà ñà åäíî ñëåä äðóãî êàêòî ñúì ãè ïðàâèë.
    Òîâà äåòî êàçà SDFix â normal mode - îïèòàõ íî òî ìè êàçà ÷å ðàáîòåëî ñàìî â safe mode.
    Çàòîâà ïîíå íàïðàâèõ ñëåäâàùèòå íàáúðçî ïðåäè äà ðåñòàðòèðàì â safe. Ïîñëå ïðåäè äà ãî ïóñíà SDFix ïàê â safe mode (è âñè÷êî ïî ðåäà ñè êàêòî êàçâàø), ðåøèõ äà ãî ïðîáâàì ïîíå ïðåäè ðåñòàðòà â normal - äåòî ïðåäëàãà íÿêàêâè äðóãè ñêàíîâå äà äúðïà è ïðàâè â normal mode. Èçáðàõ îïöèÿòà 1. ìèñëåõ áúðçî ùå ñâúðøè, àìà íå, òúêìî ùÿõ äà ãî ñïèðàì, êîìïà ñå ðåñòàðòíà.

    .tmp
    Äîêàòî ãî ÷àêàõ âèäÿõ åäíè .tmp â Ñ: Áÿõà îáùî 6 áðîÿ - òåçè òðèòå, è îùå òðè êîèòî èç÷åçíàõà - ñ èìåíà 37A.tmp 37E.tmp 37F.tmp Âðåìåòî èì å òî÷íî êîãàòî ñå âìúêíà çàðàçàòà. Òåçè äâàòà 3 è 4 Ê êîèòî ñà - èì ðàçãëåæäàì properties. Òðèòå êîèòî èç÷åçíàõà, èç÷åçíàõà èìåííî êàòî èì ðàçãëåæäàõ properties, êàòî â ñúùèÿ ìîìåíò íà êëèêà èçðåâàâàøå spysweeper è ñå ÿâÿâàõà åäíè òàêèâà íåùà (áÿõà ñå ñúáðàëè 8 êîãàòî ðåñòàðòíà). Ïîñëåäíèÿ - 378.tmp - è çà íåãî äàâàøå àëàðìè, íî íå èç÷åâà ïðè ðàçãëåæäàíå.
    Ïîñëå äîéäîõ âúâ ôîðóìà, âèäàõ ÷å è òè êàçâàø çà .tmp äà ãëåäàì, è òî ìè ðåñòàðòíà.



    Ñëåä ðåñòàðòà. Ìàõíàõ ïúðâî SpySweeper, ïîñëå è avast. Ïîñëå ðàçìèñëèõ è ïàê ñëîæèõ avast, à ìàõíàõ àíòèâèðóñà íà McAfee.
    avast ãî èç÷àêàõ äà ñêàíèðà ïðåäè çàäåæäàíåòî íà win - åòî ìó ñúíäú÷åòî.


    Ïîñëå â safe mode SDFix - êàòî ïîèñêà ðåñòàðò âå÷å ãî îñòàâèõ â normal mode äà ñè êàðà.
    Sillentrunners - ïàê òàêà ñúñ ñúîáùåíèåòî çà ãðåøêà. Îñòàâèõ ñúîáùåíèåòî çà ñòîè, íàëè êàçâàø ÷å ìîæåëî äà ìó òðÿáâà âðåìå, àìà íå áè - áàÿ ñòîÿ áåç íåùî äà ñå ñëó÷è ïîâå÷å.
    Ïîñëå è autoruns.
    Åòî - ñàìî ñ avast çà àíòèâèðóñíà - SDFix > Sillentrunners > Autoruns - txt ðàïîðòèòå èì.

    Ïîñëåäíî, ñåãà - èçòðèõ âñè÷êè .tmp â windows i system32 (âêë ñêðèòè è çàùèòåíè)
    Attached Files

  21. #21
    Íàøèÿò ÷åðåí êîòàðàê Private's Avatar
    Join Date: Jan:2002
    Location: Ñîôèÿ
    Posts: 32,172
    Quote Originally Posted by ilko View Post
    @thedivaka

    Íÿìàì ïðîòèâ äà òè ïîìàãàì äà ãî äîâúðøèì, íî ïðîäúëæàâàø äà íå èçïúëíÿâàø
    êàêâîòî òè ïèøà, à ïî òîçè íà÷èí ìå îáúðêâàø è äâàìàòà ãóáèì âðåìå, àç äà ïèøå
    åäíè è ñúùè íåùà ïî íÿêîëêî ïúòè, òè äà ñêàíèðàø ñ êàêâè ëè íå ïðîãðàìè.
    Åäíà åâåíòóàëíî ïîëåçíà èäåÿ:
    Çà ïåðèîäè÷íîòî îáåçãàäèíÿâàíå ía åäèí äîìàøåí êîìïþòúð ïðè
    ìîè ïîçíàòè (ìàìà, òàòå è äâå äå÷èöà), ïîëçâàì Remote Admin ñîôòóåð.
    Òàêà ëåêóâàùèÿò ëåêàð å ñàìî åäèí.
    -= All our life, we are beta testers =-
    -= Âíèìàíèå! Âúçìîæíî å ïîñòîâåòå ìè äà ñúäúðæàò õóìîð, [ñàìî]èðîíèÿ è ñàðêàçúì! =-
    -= Êàêâè òåìè ìå ðàäâàò è çàùî =-= Îòèäîõà ñè äîáðè õîðà: Fo , goblin =-

  22. #22
    Registered User
    Join Date: Dec:2005
    Location: yvr
    Posts: 5,167
    Quote Originally Posted by thedivaka View Post
    Èëêî, àç ÷å ñå îøàøàâèõ ñ òèÿ çàðàçè, äà, àìà âñå ïàê òóê äåòî ïèøà íåùàòà ñà åäíî ñëåä äðóãî êàêòî ñúì ãè ïðàâèë.
    Íÿìà ïðîáëåì

    Quote Originally Posted by thedivaka View Post
    Ïîñëåäíî, ñåãà - èçòðèõ âñè÷êè .tmp â windows i system32 (âêë ñêðèòè è çàùèòåíè)
    Ñåãà êàê ñå äúðæè êîìïþòúðà, ðåñòàðòèðà ëè ñå?
    Â ëîãîâåòå íå ñå âèæäà íèùî íåðåäíî.
    Àêî âñå îùå èìàø ïðîáëåìè îçíà÷àâà ÷å èëè èìàø çàðàçåí ëåãèòèìåí ôàéë, êîéòî ìîæå äà ñå õâàíå ñàìî ñúñ ñêàíèðàíå íà àíòèâèðóñíà, èëè ÷å çàðàçàòà èäâà îò íÿêúäå, êîåòî å èçâúí ïîëåçðåíèåòî íà autoruns è ïîäîáíèòå ïðîãðàìè, êàòî íàïðèìåð òâîé ñè ôàéë, êîéòî ïóñêàø ðú÷íî.
    Àêî âñå îùå èìàø ïðîáëåìè èìà íÿêîëêî îïöèè:
    1. Ïóñêàø ñëåäíèòå òóóëñ÷åòà, òå ñêàíèðàò çà îïðåäåëåí âèä èíôåêöèè è ãè òðèÿò àâòîìàòè÷íî:
    1.1 SmitFraudFix<--â Safe Mode èçáèðàø 2 (Clean)
    Ñëåä êàòî ãî ñâúðøè ïóñêàø òóê ëîãà îò íåãî.
    1.2 VundoFix Ñëåä êàòî ãî ñâúðøè ïóñêàø òóê ëîãà îò íåãî.
    * Double-click VundoFix.exe to run it.
    * When VundoFix re-opens, click the Scan for Vundo button.
    * Once it's done scanning, click the Remove Vundo button.
    * You will receive a prompt asking if you want to remove the files, click YES
    * Once you click yes, your desktop will go blank as it starts removing Vundo.
    * When completed, it will prompt that it will reboot your computer, click OK.
    1.3 VirtmundoBeGone
    1.4 ComboFix Ñëåä êàòî ãî ñâúðøè ïóñêàø òóê ëîãà îò íåãî, c:\combofix.txt ìèñëÿ ÷å áåøå.

    2. Ïðàâèø ñè Ubcd4Win CD, äúðïàø ïîñëåäíèòå úïäåéòè çà DrWeb CureIt è îñòàíàëèòå àíòèâèðóñíè ïðîãðàìè âêëþ÷åíè â íåãî è ñêàíèðàø îôôëàéí, êàòî âíèìàâàø êàêâî ñå ïðåäëàãà çà òðèåíå, àêî íÿêîé îò ñèñòåìíèòå ôàéëîâå å çàðàçåí è íå ìîæå äà ãî äåçèíôåêòèðà íå ãî òðèé, äîêàòî íå ñè ñèãóðåí ÷å ìîæåø äà ñëîæèø ðàáîòåùî êîïèå îòíÿêúäå äðóãàäå!

    3. Ìàõíè è òåçè ôàéëîâå, êàêòî å îïèñàíî òóê:
    http://www.bullguard.com/support/tec...mywebsdll.aspx

    4. Îòâàðÿø www.virustotal.com è ñêàíèðàø ïîñëåäîâàòåëíî ñëåäíèòå ôàéëîâå, íàïðàâî copy-paste ïúòÿ:

    c:\windows\system32\drivers\secdrv.sys
    C:\WINDOWS\SYSTEM32\NTKRNLMP.EXE
    C:\WINDOWS\SYSTEM32\NTKRPAMP.EXE
    C:\WINDOWS\system32\sessmgr.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\winlogon.exe

    Kàçâàø êàêúâ å ðåçóëòàòà áåç äà òðèåø íèùî, äîðè è íÿêîé äà å çàðàçåí.
    Òðèë ëè ñè íåùî îò C:\WINDOWS\system32\dllcache ?


    http://ca.com/securityadvisor/virusi....aspx?id=62470
    Òóê èìà ìàëêî ïîäðîáíîñòè çà íÿêîè îò íåùàòà íà êîìïà òè, îáùî âçåòî åäèí îò íàé- óìíèòå âèðóñ÷åòà.
    ò.2 å íàé- ïîäõîäÿùî äà ñå íàïðàâè, íå çíàì äàëè ùå òè îñòàâè òîëêîâà âðåìå è äîêîëêî áúðçî ùå ñå îïðàâèø, íî òîâà å íàé- äîáðèÿò âàðèàíò çà ïîäîáíè èíôåêöèè, îôôëàéí àíòèâèðóñíà+HiJackThis è Autoruns.

    Quote Originally Posted by Private View Post
    Åäíà åâåíòóàëíî ïîëåçíà èäåÿ:
    Çà ïåðèîäè÷íîòî îáåçãàäèíÿâàíå ía åäèí äîìàøåí êîìïþòúð ïðè
    ìîè ïîçíàòè (ìàìà, òàòå è äâå äå÷èöà), ïîëçâàì Remote Admin ñîôòóåð.
    Òàêà ëåêóâàùèÿò ëåêàð å ñàìî åäèí.
    Äîáðà èäåÿ, äîñòà ÷åñòî ÿ ïîëçâàì, íî íå ìèñëÿ ÷å å ðåäíî äà âëèçà â óïîòðåáà òî÷íî ñåãà, íå å òîâà èäåÿòà íà ôîðóìà, à è åäâà ëè ùå èìàì âðåìåòî äà ãî ïðàâÿ
    Last edited by ilko; 19th September 2007 at 08:46.

  23. #23
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Àìè ðåñòàðòèðà, äà. Ñíîùè ñëåä ãîðíèòå îïåðàöèè íà 2 ïúòè; è ñåãà ïðåäè îáåä, òúêìî òè áÿõ ïî÷åë ïîñòà - è ïàê ðåñòàðò.
    Àç îò windows è system32 âñè÷êè .tmp ãè èçòðèõ, íî îíèÿ 3-òå ãîðå îò êàðòèíêàòà â Ñ: äåòî ñà íå ñúì, ùîòî îñòàíàõ ñ âïå÷àòëåíèå ÷å ñà ðàçïðîñòðàíÿâàò ñàìî êàòî ãè ðàçãëåæäàì, ïúê àêî âçåìà äà ãè òðèÿ ïðîñòî òàêà ñ delete äà íå çà÷åçíàò íà íîâî íåèçâåñòíî ìÿñòî è èìå?

    Ñåãà àëàðìè íå èçëèçàò êàòî îò Mcafee íî èìà åé òàêàâà ñòðàííà ìðåæîâà àêòèâíîñò - ñàìî ÷àêà äà âêëþ÷à ìîäåìà, è áåç îòâîðåí áðàóçúð äàæå, è òðúãâà òàêà íà "ñåñèè", êàòî ñèíõðîííî èìà è àêòèâíîñò íà ïðîöåñîðà, è èêîíêàòà íà avast â ñèñòåìíèÿ òðåé ñå âúðòè?
    Ñíîùè áÿõà ïî-êîìïàêòíè, íî ñ ïî-ãîëÿìà àìïëèòóäà, òàêà íà ìåíèäæúðà ñå áÿõà íàðåäèëè 5,
    ðåñòàðòíà ìå ïðåäè äà ãè øîòíà.

    Ïðåäè òàêàâà àêòèâíîñò íå ñúì çàáåëÿçâàë, ñàìî îòíà÷àëî êàòî äîéäå çàðàçàòà èìàøå ïîäîáíî íî íå íà ñåñèè, à ïîñòîÿííî, è ñ ïî-ìàëêà àêòèâíîñò. Ïîñëå ïðåäè â åäèí ìîìåíò êàòî èçãëåæäàæå ïî÷òè ÷èñòî 3 äíè, áÿõà îñòàíàëè ñàìî ñëåäè (âòîðèÿ øîò). Òîâà íå çíàì äîêîëêî å ïîëåçíî èíôî, íî ïîíå å èíäèêàöèÿ ÷å íåùî ñå ñëó÷âà. Íå çíàì äàëè òîâà å ðåàëåí òðàíñôåð, èëè ïúê îïèòè çà òðàíñôåð à avast ãè ñïèðà, íÿìà àëàðìè, ìèñòåðèÿ, íî å íåùî äåòî òðÿáâà äà ãî íÿìà ñïîðåä ìåí.

    Òîâà êîåòî ñúì òðèë ðú÷íî, îñâåí .tmp ñíîùè - èìàøå ïðåäè åäíî ati2erec.dll - ïîñò 12 îò òåìàòà(èìàì ãî çà âñåêè ñëó÷àé íà CD çàïèñàíî)
    èçòðèòè .tmp
    ot system32 ñàìî òîâà èìàøå - CONFIG.TMP 21-07-2001 18:15
    ot windows


    Ñåãà ùå êàðàì ïî ãîðíèÿ òè ïîñò íàðåä. Àç ñâàëÿì êàêâîòî òðÿáâà, çàïèñâàì è ñòðàíèöàòà äà ÿ èìàìîôëàéí, òà òèÿ ïðîöåäóðè êúäåòî íå ñå íàëàãà îíëàéí - îôëàéí ãè ïðàâÿ.

    ÏÏ: Ñåãà êàòî íàïèñàõ òîâà ãè èçòðèõ 3-òå .tmp îò Ñ: Íèùî ëîøî íå ñå ñëó÷è, ñëåä ìèíóòà èçëåçå ñúáùåíèå ÷å eõplorer èìàë ãðåøêà è ùå ñå ðåñòàðòíå - ïðèìèãà äåñêòîïà è òîâà áåøå.
    Àìà õóáàâîîîîîî - â òàñê ìåíèäæúðà âå÷å å ÷èñòè÷êî

    ÏÏ2: Àààà, êâî ñòàíà ïàê. Êàòî êëèêíàõ íà òîâà http://ca.com/securityadvisor/virusi....aspx?id=62470
    êúäåòî êàçâàø èìàëî õóáàâè íåùà - ïàê èçñêî÷è ðåêëàìàòà äåòî ñúì ÿ ïîñòíàë íàé-ãîðå â ïîñò 7 îò òåìàòà. È ïàê òðúòíà ñúùàíà íåò-àêòèâíîñò?

    ÏÏ3:Óô ïàê ðåñòíà.
    Òðèë ëè ñè íåùî îò C:\WINDOWS\system32\dllcache ?
    Íå, ñèñòåìíèòå ñúì ãè ïîêàçâàë ñàìî ñàòî òðèõ .tmp ôàéëîâåòå â wimdows i system32 íî â dllcashe íå ñúì âëèçàë.

    ÏÏ4: Îò îáÿä ÷àê ñåãà ìè îñòàíà âðåìå çà ïðîöåäóðèòå. Ëîãîâåòå ïî ò. 1-1 äî 1-4
    Attached Files
    Last edited by thedivaka; 19th September 2007 at 19:23.

  24. #24
    Registered User
    Join Date: Dec:2005
    Location: yvr
    Posts: 5,167
    Ìðåæîâàòà àêòèâíîñò å çàùîòî ñè ñâàëÿ îùå áóêëóöè îò íåòà, äúðæè ñå ïîñòîÿííî îáíîâåí è/èëè ïðàùà åìàéëè.
    Êðàøâàíåòî íà IE è Explorer ñà çàùîòî èíæåêòèðà êîä â òÿõ, òàêà îñòàâà íåçàáåëÿçàí. Ñúùîòî ñå ïîëó÷àâà ñ íÿêîé(è) äðóãè îò ñèñòåìíèòå ôàéëîâå- íàé- âåðîÿòíî winlogoin.exe å çàðàçåí è îò òàì çàïî÷âàò íåùàòà ïðè ñòàðòèðàíå, çàòîâà è ãî íÿìà ïî ëîãîâåòå îò Autoruns. Ïî âðåìå íà ñòàðòèðàíåòî äèíàìè÷íî ñëàãà è ëåãèòèìíî êîïèå íà winlogon.exe, òàêà ÷å àíòèâèðóñíèòå ïðîãðàìè äà íå ïèùÿò, äîòîãàâà òîé ñå å èíæåêòèðàë íÿêúäå äðóãàäå, ñúùî å ñúçäàë è çàðåäèë íîâè êîïèÿ íà ip6fw.sys íàïðèìåð, çàòîâà ãî íàìèðàø âñåêè ïúò.

    Òåçè 2 ôàéëà ñúì ïî÷òè ñèãóðåí ÷å ó÷àñòâàò â ñõåìàòà, â ìîìåíòà ñà 0 áàéòà, à ñà íîðìàëíè MS èìåíà ÷àñò îò íàé- ðàííèÿò åòàï ïðè çàðåæäàíåòî, áè òðÿáâàëî äà èìàø òðåòè ïîäîáåí ôàéë, êîéòî ñè å âå÷å òâîÿò è å àêòèâíèÿò. Òåçè 2 ñà ñàìî ìàñêèðîâêà.

    C:\WINDOWS\system32\ntkrpamp.exe
    C:\WINDOWS\system32\ntkrnlmp.exe

    Çàñåãà îñòàâÿìå âñÿêàêâè äðóãè ïðîãðàìè è òóóëñ÷åòà. Èíòåðåñóâà íè êîé îò ñèñòåìíèòå ôàéëîâå å èíôåêòèðàí è îòêúäå òðúãâà èíôåêöèÿòà. TMP ôàéëîâå òðèé ñìåëî êúäåòî è äà íàìåðèø, ñúùî ïðîâåðÿâàé çà C:\WINDOWS\system32\drivers\ip6fw.sys è ãî òðèé êîãàòî è äà ãî âèäèø.

    2 ñà âàðèàíòèòå

    1. Ïî- ëåñíèÿò- ñ Ubcd4Win è àíòèâèðóñíèòå íà íåãî (ïðåäâàðèòåëíî îáíîâåíè) ñêàíèðàø äèñêà è âíèìàâàø êàêâî ïðåäëàãàò äà òðèÿò
    2. Íà íÿêîè îò äâàòà ñàéòà
    virusscan.jotti.org
    www.virustotal.com

    ïóñêàø çà ñêàíèðàíå ïîñëåäîâàòåëíî íÿêîëêî ôàéëà:
    c:\windows\system32\drivers\secdrv.sys
    C:\WINDOWS\SYSTEM32\NTKRNLMP.EXE
    C:\WINDOWS\SYSTEM32\NTKRPAMP.EXE
    C:\WINDOWS\SYSTEM32\ntoskrnl.exe
    C:\WINDOWS\system32\sessmgr.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\iun6002.exe
    C:\Program Files\Internet Explorer\iexplore.exe

  25. #25
    Ç.È.Â.Ï. thedivaka's Avatar
    Join Date: Mar:2006
    Location: 8.3
    Posts: 4,951
    Ñåãà ñè äúðïàì UBCD4WIN 3.0.6 (ïî÷íàõ îäåâå êàòî êà÷èõ ðàïîðòèòå, íàïîëîâèíà å â ìîìåíòà)

    Òåçè 2 ôàéëà ñúì ïî÷òè ñèãóðåí ÷å ó÷àñòâàò â ñõåìàòà, â ìîìåíòà ñà 0 áàéòà, à ñà íîðìàëíè MS èìåíà ÷àñò îò íàé- ðàííèÿò åòàï ïðè çàðåæäàíåòî, áè òðÿáâàëî äà èìàø òðåòè ïîäîáåí ôàéë, êîéòî ñè å âå÷å òâîÿò è å àêòèâíèÿò. Òåçè 2 ñà ñàìî ìàñêèðîâêà.

    C:\WINDOWS\system32\ntkrpamp.exe
    C:\WINDOWS\system32\ntkrnlmp.exe

    Çàñåãà îñòàâÿìå âñÿêàêâè äðóãè ïðîãðàìè è òóóëñ÷åòà. Èíòåðåñóâà íè êîé îò ñèñòåìíèòå ôàéëîâå å èíôåêòèðàí è îòêúäå òðúãâà èíôåêöèÿòà. TMP ôàéëîâå òðèé ñìåëî êúäåòî è äà íàìåðèø, ñúùî ïðîâåðÿâàé çà C:\WINDOWS\system32\drivers\ip6fw.sys è ãî òðèé êîãàòî è äà ãî âèäèø.
    Óõà C:\WINDOWS\system32\drivers\ip6fw.sys ïàê ãî èìàøå, è ãî èçòðèõ.
    Åòî è ãîðíèòå 2 â êîìïàíèÿòà íà ãî-ãîëÿìîòî èì äðóãàð÷å. Òÿõ äà ãè òðèÿ ëè äèðåêòíî, èëè ïî ñïåöèàëíà ïðîöåäóðà ùå òðÿáâà?
    Last edited by thedivaka; 19th September 2007 at 20:37.

Page 1 of 2 12 LastLast

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Copyright © 1999-2011 Õàðäóåð ÁÃ. Âúçìîæíî å ñúäúðæàíèåòî íà òàçè ñòðàíèöà äà å îáåêò íà àâòîðñêè ïðàâà.
iskamPC.com | mobility.BG | Bloody's Techblog | Êðèïòîâàëóòè è ìàéíèíã | 3D Vision Blog | Ìàãàçèí çà åëåêòðîííè öèãàðè