Взрослая социальная сеть
Поиск секса поблизости, а также
тематические знакомства и виртуальное общение

ВХОД РЕГИСТРАЦИЯ
Все о сексе Секс чат Блоги Группы

Страницы: (2) 1 2
Мужчина knoxvilllle
Свободен
09-03-2008 - 19:55
Он просто тупо вырубает мне комп!Итак по порядку.
Перед тем как перезагрузится выскакивает окошко приложение будет закрыто(Win32Service).Жму не отправлять,через пару секунд выскакивает - системе необходимо перезагрузится и отсчёт около 1 минуты.Там же написано - это вызвано непредвиденной остановкой службы удалённый вызов процедур(RPC). И ещё чтото про NT AUTORHITY / System.
Так же перед этим или после этого, касперский находит два вируса
троянская программа Trojan.Win32.Qhost Файл: C:\WINDOWS\system32\drivers\etc\hosts

и
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\WINDOWS\System32\f.exe//PE_Patch.Morphine//Morphine//UPX

Обоих удаляю ,но как пониматие через какоето время они появляются вновь(я и несколько раз полную проверку делал,всё равно появляются.).

Вот и лог на всякий пожарный

Мужчина ric1984
Свободен
09-03-2008 - 20:15
а твой антивирусник, сам не под вирусом.
Троян обычно exe файлы поражает.
попробуй другой поставь, и проверь.
Мужчина knoxvilllle
Свободен
09-03-2008 - 20:23
Другой это какой?Nod32 к примеру?

Поменял своё место гад,теперь обнаружен был здесь
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\System Volume Information\_restore{BDCD7F7B-A781-4378-A098-1CAC6D46516D}\RP367\A0665982.exe//PE_Patch.Morphine//Morphine//UPX

По той же схеме -приложение будет закрыто-найдено два вируса-минута до перезагрузки.
Мужчина do-do
Свободен
09-03-2008 - 20:45
Гм....видно винда то крякнутая :) SRVANY.EXE+resetservice.exe (reset5.dll) (но это нормально)


Не вирус :) C:\WINDOWS\system32\drivers\etc\hosts
текстовый файл (можешь в него глянуть в блокноте)

троянская программа Backdoor.Win32.SdBot.gen
Похоже просто Кряк Игрушки Morphine (?)


В логе все нормально

Запуститьс LiveCD проверь последним антивирусом (у drweb есть утила кумулятивная), проверь диск на ошибки...реестр
Мужчина Vertigo
Женат
09-03-2008 - 20:45
Вирус W32.Donk. Пофикси это:
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe
Сделай повторный лог, проверь на наличие данной записи.
Сделай полную проверку антивирусом в безопасном режиме.
Можно с LiveCD проверится, как do-do любит.
Мужчина knoxvilllle
Свободен
09-03-2008 - 20:54
Я игры то такой не знаю (Morphine)

O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe - пофиксил- исчезла.
Пошёл полностью проверятся.
Мужчина do-do
Свободен
09-03-2008 - 20:57
Я еще AVZ люблю :)

Гм.. действительно вирь :) прозевал

И старый какой :) аж от 2004 года ..и файл hosts калечит :)
QUOTE
W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.

При запуске W32.Donk.S выполняет следующие действия:

1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe

2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:

• w3.org
• geocities.com
• freewebpage.org
• fortunecity.co.uk
• angelfire.com
• warez.com
• sms.ac
• isohunt.com
• wincustomize.com
• ftp.as.ro
• dot.tk
• irc.dal.net
• irc.undernet.org
• hotmail.com
• msn.com
• google.com
• yahoo.com


Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.

Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т

Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:


127.0.0.1  www.trendmicro.com                         
127.0.0.1  trendmicro.com                             
127.0.0.1  rads.mcafee.com                           
127.0.0.1  customer.symantec.com                     
127.0.0.1  liveupdate.symantec.com                   
127.0.0.1  us.mcafee.com                             
127.0.0.1  updates.symantec.com                       
127.0.0.1  update.symantec.com                       
127.0.0.1  www.nai.com                               
127.0.0.1  nai.com                                   
127.0.0.1  secure.nai.com                             
127.0.0.1  dispatch.mcafee.com                       
127.0.0.1  download.mcafee.com                       
127.0.0.1  www.my-etrust.com                         
127.0.0.1  my-etrust.com                             
127.0.0.1  mast.mcafee.com                           
127.0.0.1  ca.com                                     
127.0.0.1  www.ca.com                                 
127.0.0.1  networkassociates.com                     
127.0.0.1  www.networkassociates.com                 
127.0.0.1  avp.com                                   
127.0.0.1  www.kaspersky.com                         
127.0.0.1  www.avp.com                               
127.0.0.1  kaspersky.com                             
127.0.0.1  www.f-secure.com                           
127.0.0.1  f-secure.com                               
127.0.0.1  viruslist.com                             
127.0.0.1  www.viruslist.com                         
127.0.0.1  liveupdate.symantecliveupdate.com         
127.0.0.1  mcafee.com                                 
127.0.0.1  www.mcafee.com                             
127.0.0.1  sophos.com                                 
127.0.0.1  www.sophos.com                             
127.0.0.1  symantec.com                               
127.0.0.1  securityresponse.symantec.com             
127.0.0.1  www.symantec.com

2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:

• SST
• database
• sql
• Root
• admin
• Guest
• home
• Administrateur
• Verwalter
• User
• Default
• administrator
• Administrator

Пароли:

• 101
• pw
• mypass
• pw123
• admin123
• 557
• mypc
• love
• pass
• pwd
• Login
• login
• owner
• xxx
• home
• zxcv
• yxcv
• qwer
• secret
• asdf
• pc
• win
• temp123
• temp
• test123
• test
• abc
• aaa
• a
• sex
• god
• root
• administrator
• alpha
• 007
• 123abc
• 0
• 2003
• 2002
• xp
• enable
• 123asd
• super
• Internet
• computer
• server
• 123qwe
• sybase
• oracle
• abc123
• abcd
• database
• passwd
• pass
• 111
• 54321
• 654321
• 123456789
• 1234567
• 123
• 12
• 1
• Password
• Admin
• admin
• 1234
• 12345
• 12345678
• letmein
• qwerty
• 7777
• 1111
• asd#321
• 6969
• 123456
• password

В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:

• C:\Documents and Settings\All Users\Start Menu\Programs\Startup
• C:\WINDOWS\Start Menu\Programs\Startup
• C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINDOWS\Start Menu\Programs\Startup
• \Documents and Settings\All Users\Start Menu\Programs\Startup

3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:

• %Temp%\upd32a.exe
• %Temp%\kspd32a.exe
• %System%\navinst.exe

4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.


иногда помогают мелкие утилки антивирусные ..например
http://us.mcafee.com/virusInfo/default.asp?id=stinger

Ксати Почисти файл hosts

Оставь только строчку
127.0.0.1 localhost

Это сообщение отредактировал do-do - 09-03-2008 - 21:11
Мужчина knoxvilllle
Свободен
09-03-2008 - 23:17
Аргх....
После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!).Все проблемы как рукой сняло).В связи с этим вопрос: аудио кодеки на интегрированную карту без разницы какие ставить?Да и где их найти?
Мужчина Vertigo
Женат
09-03-2008 - 23:21
QUOTE
После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!)

Гхыгс...
А чо так? Удалял че-нить во время проверки?
Мужчина knoxvilllle
Свободен
09-03-2008 - 23:38
во время проверки?да вроде нет.Ничего не нашло.По кодекам ответьте пожалуйста,а то я думал легко найду,а ни фига не подходит что-то.
Мужчина knoxvilllle
Свободен
09-03-2008 - 23:44
Наверное я неправильно выразился.НЕ кодеки,а ДРАЙВЕРА.Ну или на интегрированную нет дров?А то она у меня теперь только пищит...
Мужчина Vertigo
Женат
10-03-2008 - 00:23
На сайте производителя материнской платы.
Мужчина knoxvilllle
Свободен
10-03-2008 - 01:39
Всё разрешилось.Спасибо.
Мужчина knoxvilllle
Свободен
13-03-2008 - 00:29
Я щас заплачу cry_1.gif ... Он вернулся!!!! А самое обидное что касперского установить не могу.Как-то я намудрил при последней установке,что он и не установлен и при повторной установке ошибку выдаёт.
Какой ещё антивирус можно установить чтоб хоть както помогло?
вот лог...Мне сразу не понравилось всё с 01...Что дальше делать то?
Мужчина knoxvilllle
Свободен
13-03-2008 - 00:40
И как этим гадам из локальной сети полностью запретить заход на мой компьютер?Т.е. они как бы могут заходить,но не видят никаких расшаренных ресуров и уходят,а могут ведь и нагадить наверное...

Свободен
13-03-2008 - 01:09
Сразу оговорюсь, что это моё субъективное мнение, но я не доверяю Касперскому и, тем более Нортону. Бывали прцеденты. У меня стоит Avast. Отличная штука. Ловит на входе. И хакерские атаки отражает. Попробуй поставить его. У меня недавно был аналогичный случай. Человек попросил помочь. Стрёх заходов не смог побороть заразу. Тебе надо проверить свой HDD с другого компа. Вирусы не лечи - без оглядки удаляй файлы. Важные файлы забэкапь на всякий случай. Потом попытайся загрузиться у себя на компе. Возможно потребуется восстановление винды. Если всё пройдёт удачно, то поставь AVAST и не отключай его автоматическое обновление. Не экономь на этом трафике - он важен. И проверяй антивирем на входе всё, что пытаешься засунуть в свой комп. Также проверяй скачанные файлы перед запуском и архивы перед распаковкой.
И ещё. Ты всё переустановил и опять появилась зараза? Вспомни детально, что ты в комп вставлял (флэшки, диски и т.п.). Возможно где-то там притаилась болезнь. перепроверь всё своё хозяйство на здоровом компе.
Мужчина knoxvilllle
Свободен
13-03-2008 - 18:08
Кажись этот вирус ещё наглее чем предидущий...Не даёт запуститься никакому setup,за ОЧЕНЬ редким исключением.Кажись всё опять к переустановке идёт,если ничего выжать из лога не удасться...
Мужчина Vertigo
Женат
13-03-2008 - 18:31
Огромное количество червей.

W32/Sdbot-ACK:
C:\WINDOWS\System32\libsys32.exe
C:\WINDOWS\System32\libsys32.exe

Изменения, сделанные им в hosts:
O1 - Hosts: 82.146.60.44 postbank.de
O1 - Hosts: 82.146.60.44 www.postbank.de
O1 - Hosts: 82.146.60.44 banking.postbank.de
O1 - Hosts: 82.146.60.44 direkt.postbank.de
O1 - Hosts: 82.146.60.44 www.smile.co.uk
O1 - Hosts: 82.146.60.44 smile.co.uk
O1 - Hosts: 82.146.60.44 cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.co.uk
O1 - Hosts: 82.146.60.44 cahoot.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.com
O1 - Hosts: 82.146.60.44 co-operativebank.com
O1 - Hosts: 82.146.60.44 personal.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.co.uk
O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk
O1 - Hosts: 82.146.60.44 www.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.touchclarity.com
O1 - Hosts: 82.146.60.44 hsbc.co.uk
O1 - Hosts: 82.146.60.44 www.hsbc.co.uk
O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com
O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com
O1 - Hosts: 82.146.60.44 lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 www.lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 lloydstsb.com
O1 - Hosts: 82.146.60.44 www.lloydstsb.com
O1 - Hosts: 82.146.60.44 mi.lloydstsb.com
O1 - Hosts: 82.146.60.44 www.woolwich.co.uk
O1 - Hosts: 82.146.60.44 woolwich.co.uk
O1 - Hosts: 82.146.60.44 www.deutsche-bank.de
O1 - Hosts: 82.146.60.44 deutsche-bank.de
O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de
O1 - Hosts: 82.146.60.44 www.anbusiness.com
O1 - Hosts: 82.146.60.44 anbusiness.com
O1 - Hosts: 82.146.60.44 www.abbeyinternational.com
O1 - Hosts: 82.146.60.44 www.barclays.com
O1 - Hosts: 82.146.60.44 barclays.com
O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com
O1 - Hosts: 82.146.60.44 offshore.hsbc.com

NANPY-A WORM:
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe

KASSBOT-C WORM:
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe

Все тот же SDBOT-ACK WORM:
O4 - HKLM\..\Run: [Microsoft System Checkup] libsys32.exe
O4 - HKLM\..\RunServices: [Microsoft System Checkup] libsys32.exe
O23 - Service: NT login service (ntlogin32) - Unknown owner - C:\WINDOWS\System32\libsys32.exe

Старый знакомый DONK:
O4 - HKLM\..\Run: [NT Logging Service] syslog32.exe

Но фиксим только это:
O9 - Extra button: Cтатистика Веб-Антивиру&# 1089;а - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing)

Качаем (), создаем загрузочный диск из образа, загружаемся с него. После загрузки BartPE вместо кнопки Пуск, появится кнопка GO, запусти, найди Касперского и запусти его с полной проверкой компьютера.

Все, что нужно, Касперским удаляешь, делаешь лог, выкладываешь сюда.
Мужчина do-do
Свободен
13-03-2008 - 18:43
Блин ..весело живете :) Мне бы хоть одного виря у себя на компе увидать.

Мужчина knoxvilllle
Свободен
13-03-2008 - 18:45
Да где я их подхватить то успел?Два дня прошло после переустановки.На всё выше перечисленное уйдёт какоето время.
Мужчина knoxvilllle
Свободен
13-03-2008 - 21:22
Вообщем вот...
Мужчина Vertigo
Женат
13-03-2008 - 22:40
Всё отлично. Сейчас в темпе вальса ставь какой-нибудь сетевой экран, например: KIS (тогда KAV удалить), Outpost (только у него проблемы при работе с hostingfailov.com), Comodo и т.д.
Антивирус, кстати, сейчас нормально работает?

Это сообщение отредактировал Vertigo - 13-03-2008 - 22:51
Мужчина Vertigo
Женат
13-03-2008 - 22:50
Еще.
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
Если процессор не поддерживает HyperThreading, то это можно убрать, т.к. оно замедляет работу системы. Какой процессор?

Это сообщение отредактировал Vertigo - 13-03-2008 - 22:52
Мужчина knoxvilllle
Свободен
13-03-2008 - 22:57
Процессор - athlon 1800 32х(вроде).
Установил KIS 7.0 ...
Пока всё тихо ninja.gif .
Женщина Правда
Замужем
13-03-2008 - 23:11
К Vertigo:Не стоит ли остановить этот процесс:
C:\WINDOWS\system32\svchost.exe -k LocalService
Удалённый реестр...
Мужчина Vertigo
Женат
13-03-2008 - 23:25
QUOTE
Процессор - athlon 1800 32х(вроде).

Для чего на атлоны вместе с AGP-драйверами ставится патч для интеловских пентиумов с поддержкой HyperThreading, мне совершенно не понятно.
Скачай утилитку и удали HTpatch.
Мужчина Vertigo
Женат
13-03-2008 - 23:33
QUOTE
C:\WINDOWS\system32\svchost.exe -k LocalService

А где в логе k LocalService? Что-то я не вижу...
Женщина Правда
Замужем
14-03-2008 - 00:21
QUOTE (Vertigo @ 13.03.2008 - время: 21:33)

А где в логе k LocalService? Что-то я не вижу...

Всё-разобралась-икскьюз ми...
Мужчина knoxvilllle
Свободен
14-03-2008 - 03:23
Дождёмся рассвета vampire.gif .
Если пару дней простоит,значит всё в порядке.
Мужчина Позитрон
Свободен
14-03-2008 - 05:50
бедняга...
у меня тоже какая-то зараза сидит...
А какая, понять не могу...
Сначала стоял НОД32, нашел два вируса, но не вылечить не удалить не смог. Потом поставил ДрВеба не нашел нихрена, сейчас поставил KIS 7, нашел 13 тысяч вирусов, удалить не смог. Поставил AVG, не нашел нихрена, поставил обратно KIS, говорит, что вирусов нет...
А комп все хуже и хуже работает... =(
Explorer.exe каждые минут 15 говорит, что допустил ошибку и будет закрыт.
Комп виснет оч. часто...
И тормозит как черепаха...
И с цветами какой-то бардак стал... Все киношки и игры стали ОЧЕНЬ темными... =(((

А вроде комп не очень слабый:
AMD Athlon™ 64 X2 Dual Core Processor 3800+
2.01 ГГц, 1,00 ГБ ОЗУ

Стоит Винда (лицензия) XP Home Edition SP2
Мужчина Vertigo
Женат
14-03-2008 - 12:03
Тот же совет:
QUOTE
Качаем (), создаем загрузочный диск из образа, загружаемся с него. После загрузки BartPE вместо кнопки Пуск, появится кнопка GO, запусти, найди Касперского и запусти его с полной проверкой компьютера.

Все, что нужно, Касперским удаляешь, делаешь лог, выкладываешь сюда.


Хотя нет, дай сначала лог гляну.

Это сообщение отредактировал Vertigo - 14-03-2008 - 12:04
Мужчина knoxvilllle
Свободен
15-03-2008 - 16:46
Были замечены атаки на мой компьютер,да и пару троянов находил сразу после установки windows.Среди них был и тот самый "выключятель компов",ну я его сразу удалил,а не лечил как обычно.Просьба взглянуть лог.
Мужчина Vertigo
Женат
15-03-2008 - 18:22
Лог чистый.
Мужчина do-do
Свободен
15-03-2008 - 18:47
Еще бы дистрибутивы с софтом ...флешки и прочие носители ...проверить.... зараза ж не сама зарождается... где то среди софта, видать что то есть .
Мужчина knoxvilllle
Свободен
16-03-2008 - 00:45
Да я знаю что рождается она у меня из локальной сети пользователей интернета компании "такой то".Через 2 папки с открытым доступом(я не знаю как их закрыть)."Назначенные задания" и "Принтеры и факсы".Через второй ничего не проходит,т.к. там ничего нельзя создать,вставить,копировать и т.д.А вот через первую скорее всего всё сочится,ибо там всё это можно.
0 Пользователей читают эту тему

Страницы: (2) 1 2 ...
  Наверх