B-boy/StyLe/ Публикувано Февруари 3, 2009 Report Share Публикувано Февруари 3, 2009 Ужас...пак се е появил...Сигурна ли си, че си изтеглила всички обновления за Операционната Система ? Има алтернативни начини (ако те е страх от системата за проверка за легалност на Windows - Genuine System) MBSA 2.1 http://img81.imageshack.us/img81/2678/43948510wt5.jpg http://www.microsoft.com/downloads/details...;displaylang=en Windows Updates Downloader 2.40 Build 1299 http://softvisia.com/download.php?view.746 Отвори Notepad и въведи: Killall:: Rootkit:: c:\windows\system32\uhqrsb.dll Driver:: vxnmuxup NwSapAgent NetSvc:: vxnmuxup Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vxnmuxup] Запази файла като CFScript и го провлачи в иконата на Combofix. Провери и с онези малки тулчета (в различните цветове) от по-предните постове... http://forums.softvisia.com/index.php?s=&a...ost&p=64272 Не ми харесва, това че имаш много излишни неща инсталирани - тулбари и т.н. Буди подозрение и тази SAP Agent => използва порт 14336...Все инфектирани машини съм виждал в негово присъствие. Цитирай Link to comment Сподели другаде More sharing options...
Bibini Публикувано Февруари 4, 2009 Author Report Share Публикувано Февруари 4, 2009 Прикачам логфайла от ComboFix. Другите неща ги правя пак. B-boy/StyLe/,отново благодаря. И лога от GMER ти пращам.ComboFixlog.txtGMERLOG.txt Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Февруари 4, 2009 Report Share Публикувано Февруари 4, 2009 Добра работа... Можеш да отвориш Notepad и да въведеш: Killall:: File:: c:\windows\system32\REN18.tmp c:\windows\system32\REN17.tmp c:\windows\system32\REN16.tmp Запази файла като CFScript и го провлачи в иконата на ComboFix. http://forums.softvisia.com/index.php?s=&a...ost&p=63828 Ще може ли един нов лог от HijackThis ? Почисти временните файлове с ATF-CLEANER или CCLeaner и изключи и включи System Restore (по-назад е описано как). За финал, ако можеш да ми архивираш папката C:\Qoobox за да разпратя някои от файловете и за анализ. http://img187.imageshack.us/img187/7393/44276069jm6.jpg Крайно време е продукти като MBAM да започнат да засичат този файл: c:\windows\system32\uhqrsb.dll Един подобен вече им го пратих...пак дело на Conficker VirusTotal: (31/39) Благодаря ти ! Цитирай Link to comment Сподели другаде More sharing options...
Slammer Публикувано Февруари 4, 2009 Report Share Публикувано Февруари 4, 2009 Крайно време е продукти като MBAM да започнат да засичат този файл: c:\windows\system32\uhqrsb.dll Един подобен вече им го пратих...пак дело на Conficker VirusTotal: (31/39) Благодаря ти ! По-принцип подобни файлове, които се правят на упорити при триене и Malwarebytes мълчи по въпроса, процедирам по-следния начин: (предполагам че е известен, но все пак ще го спомена): 1 спирам System restore2 почиствам временните файлове с ATF или ccleaner(почистването на регистрито го пускам три пъти)3 стартирам в safe mode като предварително съм се заредил с програмите smitfraudfix, combofix, gmer, malwarebytes, hijackthis4 пускам програмите в следния ред: hijackthis, gmer, smitfraudfix, combofix(възможно е тази програмка да поиска рестарт), malwarebytes5 накрая си пускам коя да е антивирусна (по-принцип avast, заради възможността за проверка преди зареждане на ОС) Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Февруари 4, 2009 Report Share Публикувано Февруари 4, 2009 ComboFix и Malwarebytes' Anti-Malware работят по-добре под нормален режим. Препоръчително е да се стартират под него, а не под Safe Mode, освен ако ситуацията не го налага по някакъв начин. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Февруари 4, 2009 Report Share Публикувано Февруари 4, 2009 Проблема пак и се е появил... C:\WINDOWS\system32\uhqrsb.qyk[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan[NOTE] A backup was created as '49fa7dc7.qua' ( QUARANTINE )[NOTE] The file was deleted! Аз го казвам за n-ти път: Без да се почистят останалите машини в мрежатаБез да се актуализира Windows-a и използвания софтуер (и да се разкарат повечето пиратски приложения)Без да се инсталира и конфигурира една добра защита стена проблема няма да се реши... Иначе съм споленавал за почистване на временните файлове и System Restore...А Safe Mode е необходим само за SDFix.Имаше и някои стъпки за пасивна защита... => hardening tools. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Февруари 4, 2009 Report Share Публикувано Февруари 4, 2009 А Safe Mode е необходим само за SDFix.И SmitFraudFix. В общия случай... Инструменти/програми, които е по-добре да се стартират под Safe Mode:- SDFix;- SmitFraudFix. Инструменти/програми, които е по-добре да се стартират под нормален режим (т.е. да се прибягва до Safe Mode, само ако системата не "пали" под нормален):- Malwarebytes' Anti-Malware;- ComboFix. Инструменти/програми, които могат да си свършат работата и под двата режима (т.е. могат да се пуснат и под Safe Mode, но няма смисъл и само се губи време да се рестартира):- SUPERAntiSpyware;- HijackThis;- GMER;- ESET SysInspector;- Autoruns. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Февруари 4, 2009 Report Share Публикувано Февруари 4, 2009 Съгласен съм...Особено за SUPERAntispyware, която има и режим alternate start => няма нужда да се стартира под Safe Mode... А иначе MBAM и ComboFix избягвам да ги пускам в Safe Mode...Често преименуването на изпълнимите им файлове върши работа (mbam-setup.exe на нещо друго с разширение *.exe за MBAM и Combofix.exe на нещо друго с разширение *.exe или даже с разширение *.com) Цитирай Link to comment Сподели другаде More sharing options...
isaakhim Публикувано Април 13, 2009 Report Share Публикувано Април 13, 2009 Здравейте,За да си засиля сигурността на системата, направих това: AutoRun => Отворете Notepad и въведете: REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" Запазете файла с име fix.reg и го стартирайте. Отворете Notepad и въведете: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000FF Запазета файла с име NoDriveTypeAutorun.reg и го стартирайте. Autoplay => Start => Run => напишете gpedit.msc => Enter => Administrative Templates => System => двукратен клик с мишката върху Turn Off Autoplay => Enabled По-надолу ще видите опцията Turn Off Autoplay on => от падащото меню изберете => All drives => ОК (както е на снимката) http://www.sizlopedia.com/wp-content/uploads/autorunusb.jpg Но за съжаление, това не се хареса много на ЖЕНАТА Съответно за да няма военно положение реших да сложа всичко в ред, но се оказа, че не е толкова лесно. Вече бях почистил регистрите с CCleaner и изтрил всички точки на Sistem restore. За Autoplay по обратен ред върнах настройките, но въпреки всичко мемори картите, флашките и CD не се отварят с менюто за избор. За Autorun пък въобще нямам идея, какво трябва да направя. Аз съм с Windows XP SP3. Имам всички актуални обновления за Windows. Ако все пак не може да се върне старото положение, ЖЕНАТА ще трябва да се примири. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Април 13, 2009 Report Share Публикувано Април 13, 2009 Не бива безразборно да променяте настройки без да сте наясно какво точно се прави и без да сте се консултирали с "женското тяло" преди това. Има доста начини да се поправят нещата. Най-лесния от тях е с помощта на този инструмент: Autofix Също така проверете следното нещо: За Autoplay => Start => Run => напишете gpedit.msc => Enter => Administrative Templates => System => двукратен клик с мишката върху Turn Off Autoplay => Not Configured За AutoRun => Изтеглете този ключ с десен бутон на мишката (Save as) и го стартирайте. Изберете YES на диалоговия прозорец за да влезнат промените в сила. Полезен безплатен инструмент също е и TweakUI TweakUI => My Computer => Autoplay => Drives => слагате отметките пред желаните устройства: http://www.dailycupoftech.com/wp-content/uploads/2006/11/tweakui003.png TweakUI => My Computer => Autoplay => TYPES => слагате двете отметки: http://i297.photobucket.com/albums/mm240/Deewansaahib/tweakui-autoplay-settings.jpg Цитирай Link to comment Сподели другаде More sharing options...
isaakhim Публикувано Април 14, 2009 Report Share Публикувано Април 14, 2009 Благодаря B-boy/StyLe/ В моя случай помогна само инструмента Autofix. Всичко друго беше безсилно. Единственото само, което не ми хареса, беше че трябваше поправката да става за всяко устрйство поотделно и се налагаше винаги рестарт (поне аз така разбрах). Но както се казва: Всяко нещо си има цена! За съжаление се оправи само Autoplay. Autorun не проработи. Пробвах го с диска на Windows. Отваря се, но не се стартира. В крайна сметка и така да остане, пак е добре. Отново ще има Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Април 14, 2009 Report Share Публикувано Април 14, 2009 Благодаря B-boy/StyLe/ В моя случай помогна само инструмента Autofix. Всичко друго беше безсилно. Единственото само, което не ми хареса, беше че трябваше поправката да става за всяко устрйство поотделно и се налагаше винаги рестарт (поне аз така разбрах). Но както се казва: Всяко нещо си има цена! За съжаление се оправи само Autoplay. Autorun не проработи. Пробвах го с диска на Windows. Отваря се, но не се стартира. В крайна сметка и така да остане, пак е добре. Отново ще има Изтри ли "Autorun.inf" от следния ключ ? Start => Run => regedit => HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\ => изтриваш реда Autorun.inf http://nick.brown.free.fr/blog/uploaded_images/SysDoesNotExist-screenshot.png Цитирай Link to comment Сподели другаде More sharing options...
isaakhim Публикувано Април 14, 2009 Report Share Публикувано Април 14, 2009 Това не го бях направил. След като го направих, всичко се оправи. Всички сте страхотни в този форум и наистина много помагате. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.