pandox Публикувано Август 23, 2009 Author Report Share Публикувано Август 23, 2009 Ето АМА НОДА почна да изкарва пак некви червени атаки ли червей ли --ко сатана то стана по лошо????????aaaaaaaaaaaaa.txt Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Август 23, 2009 Report Share Публикувано Август 23, 2009 Не. Не е по-лошо. Моля временно спрете NOD32 Отворете notepad и въведете следната информация: KILLALL:: Driver:: 62e7c867 sdpiosys windrvNT Rootkit:: C:\WINDOWS\system32\windrvNT.sys c:\windows\system32\drivers\SDPIOSYS.SYS File:: C:\mbr.exe Запазете файла с име CFScript.txt и го провлачете в ComboFix. http://img522.imageshack.us/img522/482/cfscriptyr1.gif Това ще задейства ComboFix още веднъж. Моля публикувате лог файла в следващия си пост. Цитирай Link to comment Сподели другаде More sharing options...
pandox Публикувано Август 23, 2009 Author Report Share Публикувано Август 23, 2009 Отде да зема лог файла няма го в С там има папка ComboFix и Qoobox а отдеве ги нямаше а имаше само логфайл????????????? Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Август 23, 2009 Report Share Публикувано Август 23, 2009 Отде да зема лог файла няма го в С там има папка ComboFix и Qoobox а отдеве ги нямаше а имаше само логфайл????????????? Кой лог - на Combofix след изпълнението на скрипта от предишния ми пост или от проверката с Norman ? Няма ли C:\Combofix.txt Сигурен ли си че си направил всичко както трябва ? Ето ти готовия скрипт => изтегли го и го пусни в Combofix.exe http://4storing.com/2kv56s/a38ec1bd8e3275f...472e917bd7.html PS: Между другото какво стана с проверката с Norman_Sinowal_Cleaner.exe ? Трябва да има лог файл от нея. Цитирай Link to comment Сподели другаде More sharing options...
pandox Публикувано Август 23, 2009 Author Report Share Публикувано Август 23, 2009 от предишния пост а от норман де да търся има папка комбофикс Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Август 23, 2009 Report Share Публикувано Август 23, 2009 от предишния пост а от норман де да търся има папка комбофикс Повтори процедурата. По-горе съм дал линк към скрипта. Изтегли го и го пусни в Combofix.exe (освен ако не си го забърсал). Ако си го изтрил свали Combofix наново и пусни скрипта в него и публикувай лог файла, който ще се създаде. PS: За момента не трий нищо...Следвай инструкциите ми, после ще почистим остатъците. Остави и NOD32 спрян засега, че ще пречи на Combofix да си свърши работата. Колкото до лог файла от Norman (сигурен ли си че се извърши цялостна проверка с инструмента)...та логът ще го намериш там където си свалил Norman. Ако е на десктопа, ще има лог от него на десктопа. Цитирай Link to comment Сподели другаде More sharing options...
pandox Публикувано Август 23, 2009 Author Report Share Публикувано Август 23, 2009 Етооо Пише че немога да качвам такъв тип файлове за Нормана Не ми разрешава сайта да кача файла от Норман а е тектов БАСИ ко да правя че укаснях ВЕКЕComboFix.txt Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Август 23, 2009 Report Share Публикувано Август 23, 2009 Tака...положението е вече по-добре.Един съвет преинсталирайте програмата FolderLock, че временно почистих едни нейни услуги нарочно. Сега деинсталирай ComboFix с командата: Start => Run => напиши combofix /u http://i116.photobucket.com/albums/o6/SpotCheckBilly/COMBOrun.gif Това също така ще занули и System Restore. След като приключи проверката с Norman публикувайте лог файла...и ще ви помоля за един последен лог файл от GMER. Цитирай Link to comment Сподели другаде More sharing options...
pandox Публикувано Август 23, 2009 Author Report Share Публикувано Август 23, 2009 Аве костана В карантината на НОда 10 файла Троян,Троян -------та аз досега не ми е излизало толкоз ==ко направи че се получи така???????? В БАТАКА ли ме ВКАРА???? Как ги почисти ти да не влезе при мен ?? Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Август 23, 2009 Report Share Публикувано Август 23, 2009 Аве костана В карантината на НОда 10 файла Троян,Троян -------та аз досега не ми е излизало толкоз ==ко направи че се получи така???????? В БАТАКА ли ме ВКАРА???? Не Ви е излизало, защото Combofix премахна руткита и сега файловете са видими за антивирусната. След като деинсталирате combofix ще изчезне папката C:\Qoobox...която е карантината на Combofix и се пазят всички изтрити гадини от инструмента които сега NOD32 вече "ВИЖДА". Самия Combofix също се счита за опасно приложение от антивирусните програми, защото може да се използва за злонамерени цели а антивирусната не е в състояние да прецени това. ЗАТОВА ПОСЪВЕТВАХ ДА Я ИЗКЛЮЧИТЕ ДОКАТО РАБОТИ COMBOFIX.Системата е почти чиста. Очаквам последните два лог файла от Norman и нова проверка от GMER. Не съм Ви вкарал в батака а точно оттам ви изкарах, но не е лесно да се бориш с упорити руткити. Проявете малко уважение тъй като не сте наясно с материята. Поздрави ! PS: И не не съм влезнал в компютъра ви...просто зададох специфични команди на Combofix и той свърши цялата работа. Остава обаче да се уверим, че повече нямате проблеми с MBR секторите тъй като имахте и mbr rootkit... Етооо Пише че немога да качвам такъв тип файлове за Нормана Не ми разрешава сайта да кача файла от Норман а е тектов БАСИ ко да правя че укаснях ВЕКЕ Много просто...имате два варианта: 1. Или отворете файла и с Copy/Paste копирайте съдържанието на лог файла в следващия си пост2. Архивирайте файла в *.zip формат и го прикачете към коментара си. Поздрави ! Цитирай Link to comment Сподели другаде More sharing options...
pandox Публикувано Август 23, 2009 Author Report Share Публикувано Август 23, 2009 ок а ГМЕРА от къде да взема логфайла му ето НОРМАНNorman SinowalMBR CleanerCopyright © 1990 - 2008, Norman ASA. Built 2008/05/13 17:21:18 Norman Scanner Engine Version: 5.92.04Nvcbin.def Version: 5.92.00, Date: 2008/05/13 17:21:18, Variants: 0 Running pre-scan cleanup routine:Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2Logged on user: ANGELIN\ANGELIN Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "00 00 00 00 20 25 2A 00 " -> ""Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000 Scan started: 23/08/2009 22:51:22 Scanning bootsectors... No SinowalMBR hooks found Number of sectors found: 2Number of sectors scanned: 2Number of sectors not scanned: 0Number of infections found: 0Number of infections removed: 0Total scanning time: 0s 344ms Scanning running processes and process memory... Number of processes/threads found: 1311Number of processes/threads scanned: 1311Number of processes/threads not scanned: 0Number of infected processes/threads terminated: 0Total scanning time: 14s Scanning file system... Scanning: C:\*.* Running post-scan cleanup routine: Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Август 23, 2009 Report Share Публикувано Август 23, 2009 Изтеглете GMER и го разархивирайте го на вашия десктоп. Преди да сканирате се уверете, че всички останали работещи програми в момента са изключени и вашия антивирусен софтуер няма да предприема никакви действия по време на сканирането на Gmer. Не използвайте компютъра си, докато трае сканирането. Кликнете два пъти пъти върху gmer.exe , за да стартирате програмата.Тя ще направи начално сканиране за секунди. След като то приключи НЕ натискайте бутона Scan, а изберете бутона Copy и поставете съдържанието на лог файла в следващия си пост. Цитирай Link to comment Сподели другаде More sharing options...
pandox Публикувано Август 23, 2009 Author Report Share Публикувано Август 23, 2009 GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.netRootkit quick scan 2009-08-23 23:12:21Windows 5.1.2600 Service Pack 2 ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a18ac1 size 0x1fdDisk \Device\Harddisk0\DR0 sector 62: copy of MBR ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 82319204 AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys ---- Modules - GMER 1.0.15 ---- Module _________ F8457000-F846F000 (98304 bytes) ---- EOF - GMER 1.0.15 ---- Какво следва ?? Ще чистим ли ?? Ефект има ли ?? Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Август 23, 2009 Report Share Публикувано Август 23, 2009 Ще се наложи. :( Има няколко програми, които могат да помогнат в тази ситуация, но най-ефективното решение си остава наличие на инсталационен диск на Windows ? (Спокойно няма да преинсталираме). Само трябва да съм наясно дали разполагате с такъв диск...за да поправим MBR секторите. Цитирай Link to comment Сподели другаде More sharing options...
pandox Публикувано Август 23, 2009 Author Report Share Публикувано Август 23, 2009 имам Уиндоус ама теглен от торентите ще отнеме ли време че бебто спи и вече ше ме изгонят че им тракам ако е дълго да оставим за утре ако не се прецака компа ако го изгася де?? Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.