art9
Ось, конечно, SP3, с webalta разбираться умею, это не она,
- антивирусом сканировал, Ccleaner-ом систему смотрел, лечил (я его использую обычно только как диагноста, всё что он нашёл под чистую править ему не даю, чищу только то, что точно знаю - инородное), утилиты AntiDust, и AdwCleaner (by Xplode) поищу, хотя мне кажется они не сильно отличаются по уровню диагностики от avz и Ccleaner-а
- вы серьёзно считаете, что зловред может прописать чужие DNS в настройках роутера? Но тогда эта ...рень была бы и на остальных компах сети, а там её нет.
- вот с Hijackthis пока работать не умею, буду благодарен за мануал.
"Если после очистки DNS пропадет доступ в интернет" 0_о! Это как? мне настроить их чтобы инет пропал? Я их всегда именно для интернета и настраивал...
simplix
Именно не запускал. Считал, что это всё-таки для случаев недоступных для обычных методов, тут же всё на виду и реестр и содержимое диска. С глубоким уважением отношусь к вашей утилите и всегда советую её на всех форумах, особенно для "чайников" знаю что она самая лучшая (эффективная и корректная). Сам же держу её "на чёрный день", когда не смогу добраться до реестра или содержимого системного раздела, а пока всегда тренирую руки, хочу понимать что и где происходит. За последние 3-4 года неподдающихся случаев не было, всё выковыривал. Похоже вы правы и "чёрный день" настал. Жаль только (если АнтиСМС справится) что не смогу узнать что и где было
viprus
А по логу стоит sp2.
По первому или по второму логу? Не может быть. И там и там сборка X-Wind, правда в первом случае довольно старая редакция, где-то 3.5 (актуальная 4.0u2), но SP по-любому должен быть 3-ий. Единственное не помню какой IE стоит, не часто его обновляю. А в результате заражения возможно некорректное отображение номера сервиспака? Как только доберусь до больного выясню, отпишусь.
Отредактировано viprus (23.04.2013 12:06:05)
может просто запустить antisms.exe?
g0dl1ke
точно. всё-таки топик посвящён этой программе.
Отредактировано art9 (23.04.2013 13:33:36)
viprus
Проверьте лучше систему TDSSKiller
Спасибо, попробую всё и отпишусь
viprus сообщает:
art9
- вы серьёзно считаете, что зловред может прописать чужие DNS в настройках роутера? Но тогда эта ...рень была бы и на остальных компах сети, а там её нет.
Я встречал два случая с левыми DNS в настройках роутера. Причем во втором случае зараза донимала только один комп из двух, т.к. на втором компе настройки были вколочены вручную, а не получены от DHCP и в качестве DNS был указан не роутер, а DNS провайдера.
И статья с техникой автовзлома роутеров была в свое время на хабре.
stecenko.al сообщает:
viprus сообщает:
art9
- вы серьёзно считаете, что зловред может прописать чужие DNS в настройках роутера? Но тогда эта ...рень была бы и на остальных компах сети, а там её нет.Я встречал два случая с левыми DNS в настройках роутера. Причем во втором случае зараза донимала только один комп из двух, т.к. на втором компе настройки были вколочены вручную, а не получены от DHCP и в качестве DNS был указан не роутер, а DNS провайдера.
И статья с техникой автовзлома роутеров была в свое время на хабре.
Сам уже сталкивался с подобным на модеме вебстрима и роутере от дом.ру. Во втором случае не понял как войти в настройки и просто скинул их на заводские, и все заработало ОК! Кстати, заметил ещё (может чисто случайность) что короткий адрес одноклассников ok.ru при этом не открывается вообще, украинская версия тоже...
byroot сообщает:
Во втором случае не понял как войти в настройки и просто скинул их на заводские, и все заработало
Не забываем менять пароль на устройство с заводского на другой, только запрета на доступ к настройкам из инета недостаточно!
stecenko.al сообщает:
Не забываем менять пароль на устройство с заводского на другой, только запрета на доступ к настройкам из инета недостаточно!
Я просто не нашел на модемах дом.ру как попасть в админку, как сменить пароль, единственное что он может менять в настройках это ключ доступа к сети wifi и ещё мелоч какую-то...
Итак первая половина отчёта.
Начал я с AntyDust, он тихий и ничем заметным себя не проявил, затем попробовал AdwCleaner (by Xplode), этот нашёл много интересного и почистил (в основном тулбар от babylon и его хвосты, ещё кое-что) но тоже мимо, после этого я решил прогнать AntiSMS. Естественно из-под LiveCD с набором системных файлов рядом, перезагружаюсь - всё по-прежнему на месте. Тогда я возвращаю всю автозагрузку (msconfig - далее по тексту) и пробую вот это: http://goo.gl/0tSAJ (порекомендовали в сообе на Мейле), уже по названию (DelLeftBan.exe - панель тоже слева) почувствовал - то что нужно, открылось окно с примером именно моего случая, текстом написали, что найдены подозрительные элементы, разрешил пролечить - принудительная перезагрузка, слёт настроек "Подключения по локальной сети" и соответственно интернета. Захожу туда, IP, шлюз и маска подсети пустые, а в DNS прописаны незнакомые параметры. Обнуляю, перевожу всё на автоопределение и всё, пропала зараза. Мучал комп и так и эдак, вроде прошло. Если что мне сообщат. Не знаю что именно утиль сделала, она какая-то узконаправленная, против одного вида заразы похоже, но неплохо бы её вариант действий присовокупить к AntiSMS или AntiDust. Осталась ещё одна машина с такой же бедой, если что-то из неё полезное для диагностики нужно вытянуть до лечения, напишите я перешлю. Жаль руки не дошли до HijackThis и АнтиРутКита, может они тоже бы её ковырнули.
а антисмс пробовали запустить из активной среды? при таком запуске он восстанавливает настройки сети.
viprus
Да, вторую машину можно использовать для определения проблемы и лечения в будущем. Для этого мне нужна сама система со всеми настройками. Скопировать её можно несколькими способами: 1) Просто скопировать все системные папки (Windows, Program Files, Users или Documents and Settings). Я перенесу их на виртуальную машину и выясню корни баннера, но тут могут быть нюансы - если задействованы права доступа на файловой системе, это может повлиять на лечение (на виртуальной машине сработает, а на реальной нет). 2) Лучший вариант - использовать VMware-converter для конвертирования реальной машины в виртуальную. Можно указать только диск C:, предварительно переместив с него самые тяжёлые файлы для экономии места. И как разновидность этого варианта, можно просто сделать снимок диска C: любой программой для бекапа (Acronis, Ghost и т. д.), лишь бы структура папок и все свойства файловой системы были сохранены.
Полученный снимок передайте любым способом (торрент, мега), для меня объём значения не имеет, можно с паролем и в ПМ.
simplix сообщает:
viprus
можно просто сделать снимок диска C: любой программой для бекапа (Acronis, Ghost и т. д.)
ОК, сделаю.
art9
ЗЫ. АнтиСМС конечно запускал из под LiveCD, как положено.
Я задал вопрос СИМПЛИКСУ , а не кому нибудь другому. Если нету ответа, то пусть и не будет.
Павел
Для персональных вопросов и существует ЛС. А это форум , т.е. всеобщее обсуждение. Где каждый делится опытом ,ищет ответы,помогает и просит о помощи.
Павел
я так понимаю вы обратились в мой адрес, т.к. на ваш вопрос ответил только я . Прошу заметить, что подобными высказываниями вы уже были банены. С такими темпами... туда вам и дорога
Порадовал автор uVS решивший уйти в коммерцию.
С понедельника обновы его программы платные.
Стоимость одного обновления 0.0005BTC.
upd2: вроде бы база хешей по прежнему будет халявной?
Отредактировано 0 0 (27.04.2013 00:10:25)
0 0
свежая база доступна для скачки.
если кому интересно, свежий локер. уже требуют 3000 руб!
http://rghost.ru/45652567
уже требуют 3000 руб!
видимо у них дела плохо идут, мало кто на их удочку попадается, вот и приходиться повышать цены
И все во многом благодарая Symplix
jimq
какой пароль ?
s_host,
video_xxx pass 111.rar
как мы видим из названия..... пароль: 111
svoit, через i
вот так Simplix
simplix
Добрый день! недавно (3 дня назад) лечил от вирусов древний комп с XP. там куча вирусов и червь Win32.HLLM.Utenti был, он же Win32.Rays, Silly.E вроде бы,если не ошибаюсь http://daxa.com.ua/vir/num29/ .
Сначала попробовал Антисмс 3.3, она вроде начала работу,но потом внезапно появилось сообщение подобного рода : "Моё шестое чувство подсказывает,что вы пытаетесь взломать программу.. Ай-яй-яй,не хорошо! Свяжитесь с автором.."
Почему Антисмс так отреагировала на вирусы - не пойму.. В общем,автозапуск червя она вроде как отключила,но сам червь то остался. И через некоторое время опять стал показывать себя во всей красе - постоянно автоматически вылазил какой-то подозрительный сайт через IE, а когда я находил в автозагрузке этого червя и пытался зайти в папку с его расположением,то винда просто сама выключалась...
Короче,решил я попробовать AVZ, она много чего нашла и удалила, и сообщила,что закрыт доступ к редактированию реестра и ещё какие-то важные службы отключены.. Судя по всему - это из за вирусов было.
Потом запустил Windows Repair (All In One),она вроде как всё в порядок привела.
Винда спасена.
Ну и собственно вопрос: что нужно сделать в следующий раз,если вдруг опять вот такое сообщение появится - "Моё шестое чувство подсказывает,что вы пытаетесь взломать программу.. Ай-яй-яй,не хорошо! Свяжитесь с автором.." ?
Комп надо было сделать быстро,и не было времени в логах копаться и собирать инфу...