Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

struk

ХЕЛП

Рекомендованные сообщения

Проблема повторяеться уже после переуствновки винды....

свхост рветься по сотням непонятных адресов аутпост блочит если не блочить то трафик идет какие пакеты куда хз...думал вирус сканил авирой потом переустановил винду дня 2 было спокойно и потом о5 началось вот лог аутпоста

подскажите что делать то? аутпост при блоке систему тормазит и куда св рветься постоянно на разные адреса...он что спидов скушал?

а второй лог это если не подключать впн он начинает ломитьсян на сотни локальных сетевых адресов...он реально безумен?

ёпрст...ща весь диапазон пройдет..вот наглый паскудник люди что это? сталкиваюсь первый раз....он ибез впн рветься как конь тока зачем хз....

см логи!

connection_log.txt

connection_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

struk, что за кривая сборка виндоса ?

Какая-то эксклюзивная со встроенным сканером сети ?

Либо подцепил что-то, а переустанавливал ось без форматирования и всё осталось.

Вот по этой инструкции логи сделай - Я заразился вирусом, что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хорошо щас займсь этим

да не виру это!

говорю же проверял и аввастом при загрузке и паирой и переустанавливал...эта ерись вылезает постоянно сканить либо сеть...причем попроядку строго....либо если впн включен то вообще не ясные адреса ок щас проделаю все как там сказано...и сюда выложу логи..но сомневаюсь что вирус и что его удастья обезвредить

не заходит ни на сайт веба неи на касперыча че за невезуха (( поэтому ен могу скачать не авп тулл не куит от веба ((

 

вот сделал лог прогой и что теперь?

 

вот авз вашим скриптом

и чего мне в этих логах?

я ниче не понимать хеелп пиплы!

hijackthisog.txt

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для AVZ:

Внимание !!! База поcледний раз обновлялась 02.11.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

В меню Файл выбрать Мастер поиска и устранения проблем: "Системные проблемы" - выбрать "Все проблемы", затем Пуск и Исправить.

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Для устранения выполнить скрипт в AVZ (Файл - Выполнить скрипт):

begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.

 

P.S. В логе Хайджека обратил внимание на эти две строки:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

Может в этом причина?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

уважаемый огромное спасибо только вот последний пост типа обрати внимание...я в этом не шарю оратить то обратил )) и как от нее избавиться если эо причина? и откуда она неужели в винде зашита была я вроде чистую качал не сборку...

 

как долбился так и долбица пока инет не врубил.....скрип в авз выполнил

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Network Diagnostic\xpnetdiag.exe удалил щас ребутнусь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В хайджеке пофикси эти строки (поссле скана отметить галочками и нажать Fix checked):

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А это ещё что за ерунда в логе ?

>> Проводник - заблокирован доступ к сетевому окружению

>> Заблокировано меню Пуск\Поиск

>> Заблокированы настройки системы Windows Update

>> Меню Пуск - заблокированы элементы

>> Заблокирован пункт меню Справка и техподдержка

Это Авира что-ли заблокировала ? Или само заблокировалось ?

 

struk, NetBIOS используешь ? (это расшаренные папки)

Если нет, то отключи в настройках сетевых подключений в настройках Протокола интернета TCP/IP (Свойства-Дополнительно-WINS).

 

Можешь и ещё другие дырки в виндосе позакрывать с помощью WWDC - УТИЛИТЫ для лечения от вирусов (пункт 4).

 

И не накосячил ли ты с настройками аутпоста и авиры ? Может это они блочат адреса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А это ещё что за ерунда в логе ?
>> Проводник - заблокирован доступ к сетевому окружению

>> Заблокировано меню Пуск\Поиск

>> Заблокированы настройки системы Windows Update

>> Меню Пуск - заблокированы элементы

>> Заблокирован пункт меню Справка и техподдержка

Это Авира что-ли заблокировала ? Или само заблокировалось ?

Похоже на кривую сборку Windows. Avira на такое не способна, тем более версия Free.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Artificial Knight, ну мало ли. Я просто Авирой не пользовался. Значит и правда кривая сборка.

 

 

struk, что за установочный образ всё-таки ? Откуда взял ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ребят это я сам блочил руками

через gpedit.msc

 

образ с торента

 

нет НБ не использую галки тока на TCPIP

продолжает и продолжает долбить..не подключаю впн долбит 10,169,*** и далее пока не надоест

если инет подрубаю то долбит рандомные апишники..связи не прослеживаеться вроде

см логи вверху

 

полностью отрубил авиру...все арвно после перезагрузки минут 10 добиться потом кстати успокаиваеться...я хз почему

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С xpnetdiag.exe прогон, это реальный файл, счас специально по безопасности мелкософта проверил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
С xpnetdiag.exe прогон, это реальный файл, счас специально по безопасности мелкософта проверил.

да пофик я уго уже удалил...

короче все что предлагали сделал и авиру отрубив в службах и тд и тп...вобщем нефига не помогает...видимо похожих случаев небыло ни у кого а у меня всегда так...))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
С xpnetdiag.exe прогон, это реальный файл, счас специально по безопасности мелкософта проверил.

Да, это майкрософтовская утилита для диагностики сети. Я просто подумал, что она в данном случае может быть причиной этой сетевой активности. У меня Windows XP SP3 лиценз. с последними обновлениями и в моём логе хайджека она не фигурирует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуй посмотри что подгружается к св, какие dll в этот момент, через АВЗ, менеджер процессов или через Process Explorer, проверь сам sv через безопасность мелкософтав АВЗ, автозагрузку по полной посмотри autoruns, с пофиксенной проверкой подлинности в настройках, чтоб скрывал подлинные, чтоб глаза не сломать, чего ещё можно посоветовать.

 

С xpnetdiag.exe прогон, это реальный файл, счас специально по безопасности мелкософта проверил.

Да, это майкрософтовская утилита для диагностики сети. Я просто подумал, что она в данном случае может быть причиной этой сетевой активности. У меня Windows XP SP3 лиценз. с последними обновлениями и в моём логе хайджека она не фигурирует.

Не знаю, у меня есть, это обновление официальное http://support.microsoft.com/kb/914440/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а у меня сайт макрософта не пашет уж неделю

 

кровный ао попонятней можно действия описать а то я не вкурил

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот проги autoruns и process explorer с русами бери http://klassnarod.narod.ru/rus.html, пускай их в инет, вместе с AVZ тоже. Путь до svchost посмотри точно ли в систем32?, нет ли дублёра - process explorer-ом: можешь его потом поставить вместо диспетчера задач в настройках увидишь. В AVZ- сервис-проверка подлинности, там найдёшь как выше описал. В AVZ-сервис-менеджер автозапуска, выдели svchost, внизу смотри что к нему подгружается, то же через process explorer, в нём ещё есть опция "найти описатель или dll", можешь забить любой файл и узнать что к нему подгружено, это так к слову если чего не удаляется например. В autoruns в меню параметры просто проставь все галки и перезапусти. Результаты если сам не поймёшь или вопросы возникнут, подозрения можно здесь обсудить. Как то так пока.

 

То что сайты мелкософта и антивирей как я понял не открываются говорит в пользу присутсвующего виря. Ты винду переставлял не с подрубленным патчкордом корбины?, если что отрубать надо, если переставлять винду будешь перед форматом на всякий снести раздел ещё можешь и после этого создать и форматнуть для пущей уверенности затирки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так не морочиться мне так не резон я буду век разбирать че к чему...да щас проверил ни Двеб ни Касперыч сайты не открываються...и м софт..это вирус но мне кажеться он прям с виндой залезает...

я так думаю надо скачать другой образ....жаль пока болванки нет пока придеться с вирусом пожить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чего до этого другая винда была? не всю же дорогу ты с вирём-то, тогда да либо винда, либо патчкорд корбины, либо софт который сразу ставишь, смотри..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
так не морочиться мне так не резон я буду век разбирать че к чему...да щас проверил ни Двеб ни Касперыч сайты не открываються...и м софт..это вирус но мне кажеться он прям с виндой залезает...

я так думаю надо скачать другой образ....жаль пока болванки нет пока придеться с вирусом пожить...

Симптомы Kido.

Как лечить,можете прочитать например здесь: http://forum.kaspersky.com/index.php?showtopic=101154

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так рою пока..кидо не кидо как бороться статью читаю а как он попал ко мне вот вопрос

проги не качаю...тока фильмицы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
так рою пока..кидо не кидо как бороться статью читаю а как он попал ко мне вот вопрос

проги не качаю...тока фильмицы

Расшаренные папки есть? Флешками пользуетесь? Если да,то одним из этих способов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да это оно начинаем бароца

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
да это оно начинаем бароца

Выполните все что указанно по той ссылке,что я дал выше.

Затем скачайте http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ и выполните "Ручное лечение"->"Сбор информации" Полученный лог приложите к посту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

цалую руки данилке....щас авп тул буду качать....правда а уже скачал касперского и установил надеюсь не помешают....лог приложу

так свхост уже не бесица поставил пароли на аки и заюзал в сэйфмоде кидо киллер...движимся дальше

Данилка не убегай у меня будет пара вопросов по флехам ибо не хотца этого проклятого кидо поймать еще раз он су*а крутой не зря Мелкософт лове сулит за инфу об авторе

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
щас авп тул буду качать....правда а уже скачал касперского и установил надеюсь не помешают....лог приложу

Перед запуском AVP Tool отключите антивирус и выгрузите все программы.

 

заюзал в сэйфмоде кидо киллер...

Прежде чем запускать AVP Tool запустите KidoKiller в обычном режиме!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот и я с логом

вопрос такой есть плеер-флешка

просто флешка и телефон с картой памяти

откуда скорее всего попал кидо?

притом что флешка не моя а чужая?

и как избежать попадания таких вот червей на ПК автозапуск у меня вроде отключен...

 

блинчеж раньше не сказал щас переделаю лог

 

вот лог 2

и ответь на вопрос по флешкам плз если не трудно

avp.txt

avp2.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу флешек-вполне вероятно именно с неё он попал Вам на комп. Отключить автозапуск желательно этой утилитой (приложил ее в аттаче) так как подобные зловреды обходят отключения автозапуска через основные средства винды.Если в будующем понадобится автозапуск,то запуститите вторую приложенную мною утилиту(EnableAutorun.rar )-и он полностью восстановится.

 

По поводу лога-в логе зловредов не обнаружил.Так что если что,пишите в личку. Чем смогу-помогу.Да,и на всяк случай сделайте лог этой http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.zip прогой. Распакуйте ее на рабочий стол,затем отключите антивирус и выгрузите все программы->запустите ваш браузер->запустите эту прогу и сделайте лог.

AutorunDisabled.zip

EnableAutorun.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все в норме

огромное спасибо за инструкцию по убийству кидо и за файлики...все снял..

так лог попозже хаковский выложу кстати чуть выше я его выкладывал правда тогда еще была зараза ))

не ожидал то на форуме есть настолько подкованые люди...очень приятно что они есть...все это относитьсяк Данилке

остальным тоже благодарности.

выложу лог и тему закрою. ибо это был обычной кидо просто я не подкован в теме вирусов....совсем..хотя и за ПК уже 8ой год....просто раньше хватало как то головы и ежемесечного сканирования какимнить Авастом диска С....ну и кач софта тока с оф сайтов...и тд и тп....ну а когда началась эра червей авторанов я немного понадеялся на везучесть вот и вышло что тупил так долго...все всем кланяюсь..выложу попозже лог и закрю темку...все получилось все чистенько и работает на ура...

 

остался лишь один вопрос...вртя ли кто ответит но если можете то хотя хоты бы в личку...снес нахрен аавиру поставил достойную замену АК так вот денег как известно не у всех много а у меня их вообще нема если честно...так вот может кто знает где брать ключики к нему...и где их обновляют...я конечно понимаю что кормушки не разглашают но буду признателен за ответ в личку..

всех благ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.