Этот вирус меня бесит!
knoxvilllle
Любитель
3/9/2008, 9:55:16 PM
Он просто тупо вырубает мне комп!Итак по порядку.
Перед тем как перезагрузится выскакивает окошко приложение будет закрыто(Win32Service).Жму не отправлять,через пару секунд выскакивает - системе необходимо перезагрузится и отсчёт около 1 минуты.Там же написано - это вызвано непредвиденной остановкой службы удалённый вызов процедур(RPC). И ещё чтото про NT AUTORHITY / System.
Так же перед этим или после этого, касперский находит два вируса
троянская программа Trojan.Win32.Qhost Файл: C:\WINDOWS\system32\drivers\etc\hosts
и
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\WINDOWS\System32\f.exe//PE_Patch.Morphine//Morphine//UPX
Обоих удаляю ,но как пониматие через какоето время они появляются вновь(я и несколько раз полную проверку делал,всё равно появляются.).
Вот и лог на всякий пожарный
Перед тем как перезагрузится выскакивает окошко приложение будет закрыто(Win32Service).Жму не отправлять,через пару секунд выскакивает - системе необходимо перезагрузится и отсчёт около 1 минуты.Там же написано - это вызвано непредвиденной остановкой службы удалённый вызов процедур(RPC). И ещё чтото про NT AUTORHITY / System.
Так же перед этим или после этого, касперский находит два вируса
троянская программа Trojan.Win32.Qhost Файл: C:\WINDOWS\system32\drivers\etc\hosts
и
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\WINDOWS\System32\f.exe//PE_Patch.Morphine//Morphine//UPX
Обоих удаляю ,но как пониматие через какоето время они появляются вновь(я и несколько раз полную проверку делал,всё равно появляются.).
Вот и лог на всякий пожарный
ric1984
Любитель
3/9/2008, 10:15:27 PM
а твой антивирусник, сам не под вирусом.
Троян обычно exe файлы поражает.
попробуй другой поставь, и проверь.
Троян обычно exe файлы поражает.
попробуй другой поставь, и проверь.
knoxvilllle
Любитель
3/9/2008, 10:23:33 PM
Другой это какой?Nod32 к примеру?
Поменял своё место гад,теперь обнаружен был здесь
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\System Volume Information\_restore{BDCD7F7B-A781-4378-A098-1CAC6D46516D}\RP367\A0665982.exe//PE_Patch.Morphine//Morphine//UPX
По той же схеме -приложение будет закрыто-найдено два вируса-минута до перезагрузки.
Поменял своё место гад,теперь обнаружен был здесь
троянская программа Backdoor.Win32.SdBot.gen Файл: C:\System Volume Information\_restore{BDCD7F7B-A781-4378-A098-1CAC6D46516D}\RP367\A0665982.exe//PE_Patch.Morphine//Morphine//UPX
По той же схеме -приложение будет закрыто-найдено два вируса-минута до перезагрузки.
do-do
Мастер
3/9/2008, 10:45:08 PM
Гм....видно винда то крякнутая :) SRVANY.EXE+resetservice.exe (reset5.dll) (но это нормально)
Не вирус :) C:\WINDOWS\system32\drivers\etc\hosts
текстовый файл (можешь в него глянуть в блокноте)
троянская программа Backdoor.Win32.SdBot.gen
Похоже просто Кряк Игрушки Morphine (?)
В логе все нормально
Запуститьс LiveCD проверь последним антивирусом (у drweb есть утила кумулятивная), проверь диск на ошибки...реестр
Не вирус :) C:\WINDOWS\system32\drivers\etc\hosts
текстовый файл (можешь в него глянуть в блокноте)
троянская программа Backdoor.Win32.SdBot.gen
Похоже просто Кряк Игрушки Morphine (?)
В логе все нормально
Запуститьс LiveCD проверь последним антивирусом (у drweb есть утила кумулятивная), проверь диск на ошибки...реестр
Vertigo
Мастер
3/9/2008, 10:45:11 PM
Вирус W32.Donk. Пофикси это:
O4 - HKLM\..\Run: syslog32.exe
Сделай повторный лог, проверь на наличие данной записи.
Сделай полную проверку антивирусом в безопасном режиме.
Можно с LiveCD проверится, как do-do любит.
O4 - HKLM\..\Run: syslog32.exe
Сделай повторный лог, проверь на наличие данной записи.
Сделай полную проверку антивирусом в безопасном режиме.
Можно с LiveCD проверится, как do-do любит.
knoxvilllle
Любитель
3/9/2008, 10:54:58 PM
Я игры то такой не знаю (Morphine)
O4 - HKLM\..\Run: syslog32.exe - пофиксил- исчезла.
Пошёл полностью проверятся.
O4 - HKLM\..\Run: syslog32.exe - пофиксил- исчезла.
Пошёл полностью проверятся.
do-do
Мастер
3/9/2008, 10:57:07 PM
Я еще AVZ люблю :)
Гм.. действительно вирь :) прозевал
И старый какой :) аж от 2004 года ..и файл hosts калечит :)
W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.
При запуске W32.Donk.S выполняет следующие действия:
1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe
2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
• w3.org
• geocities.com
• freewebpage.org
• fortunecity.co.uk
• angelfire.com
• warez.com
• sms.ac
• isohunt.com
• wincustomize.com
• ftp.as.ro
• dot.tk
• irc.dal.net
• irc.undernet.org
• hotmail.com
• msn.com
• google.com
• yahoo.com
Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.
Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т
Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
• SST
• database
• sql
• Root
• admin
• Guest
• home
• Administrateur
• Verwalter
• User
• Default
• administrator
• Administrator
Пароли:
• 101
• pw
• mypass
• pw123
• admin123
• 557
• mypc
• love
• pass
• pwd
• Login
• login
• owner
• xxx
• home
• zxcv
• yxcv
• qwer
• secret
• asdf
• pc
• win
• temp123
• temp
• test123
• test
• abc
• aaa
• a
• sex
• god
• root
• administrator
• alpha
• 007
• 123abc
• 0
• 2003
• 2002
• xp
• enable
• 123asd
• super
• Internet
• computer
• server
• 123qwe
• sybase
• oracle
• abc123
• abcd
• database
• passwd
• pass
• 111
• 54321
• 654321
• 123456789
• 1234567
• 123
• 12
• 1
• Password
• Admin
• admin
• 1234
• 12345
• 12345678
• letmein
• qwerty
• 7777
• 1111
• asd#321
• 6969
• 123456
• password
В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup
• C:\WINDOWS\Start Menu\Programs\Startup
• C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINDOWS\Start Menu\Programs\Startup
• \Documents and Settings\All Users\Start Menu\Programs\Startup
3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
• %Temp%\upd32a.exe
• %Temp%\kspd32a.exe
• %System%\navinst.exe
4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.
иногда помогают мелкие утилки антивирусные ..например
https://us.mcafee.com/virusInfo/default.asp?id=stinger
Ксати Почисти файл hosts
Оставь только строчку
127.0.0.1 localhost
Гм.. действительно вирь :) прозевал
И старый какой :) аж от 2004 года ..и файл hosts калечит :)
W32.Donk.S – сетевой червь, распространяющийся через открытые сетевые общедоступные ресурсы и позволяет удаленному атакующему получить неавторизованный доступ к зараженному компьютеру через бекдор. Червь также пытается проэксплуатировать несколько уязвимостей.
При запуске W32.Donk.S выполняет следующие действия:
1. Создает собственные копии в %System%\ntsysmgr.exe и %System%\cool.exe
2. Добавляет значение "Microsoft System Checkup"="ntsysmgr.exe" в следующие ключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
1. 3. Добавляет значение "NT Logging Service"= "syslog32.exe" в следующий ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 3. Проверят сетевое подключение, подключаясь к следующим доменам:
• w3.org
• geocities.com
• freewebpage.org
• fortunecity.co.uk
• angelfire.com
• warez.com
• sms.ac
• isohunt.com
• wincustomize.com
• ftp.as.ro
• dot.tk
• irc.dal.net
• irc.undernet.org
• hotmail.com
• msn.com
• google.com
• yahoo.com
Если червь подтверждает сетевое подключение, он пытается проэксплуатировать несколько уязвимостей (MS03-26, MS04-11, MS03-07) посылая данные к случайным IP адресам.
Когда червь обнаруживает уязвимый компьютер, он открывает бекдор, создавая скрытый удаленный процесс, который слушает на 4444 порту. В результате атакующий может выполнить удаленные команды на зараженном компьютере. Он может также послать копию червя к удаленному компьютеру. Т
Червь блокирует доступ к некоторым Web сайтам, изменяя hosts файл:
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
2. Червь копирует себя в административные шары, используя следующую комбинацию имени пользователя и пароля. Имя пользователя:
• SST
• database
• sql
• Root
• admin
• Guest
• home
• Administrateur
• Verwalter
• User
• Default
• administrator
• Administrator
Пароли:
• 101
• pw
• mypass
• pw123
• admin123
• 557
• mypc
• love
• pass
• pwd
• Login
• login
• owner
• xxx
• home
• zxcv
• yxcv
• qwer
• secret
• asdf
• pc
• win
• temp123
• temp
• test123
• test
• abc
• aaa
• a
• sex
• god
• root
• administrator
• alpha
• 007
• 123abc
• 0
• 2003
• 2002
• xp
• enable
• 123asd
• super
• Internet
• computer
• server
• 123qwe
• sybase
• oracle
• abc123
• abcd
• database
• passwd
• pass
• 111
• 54321
• 654321
• 123456789
• 1234567
• 123
• 12
• 1
• Password
• Admin
• admin
• 1234
• 12345
• 12345678
• letmein
• qwerty
• 7777
• 1111
• asd#321
• 6969
• 123456
• password
В случае успеха, червь копирует себя в следующие каталоги на удаленной системе:
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup
• C:\WINDOWS\Start Menu\Programs\Startup
• C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINNT\Profiles\All Users\Start Menu\Programs\Startup
• \WINDOWS\Start Menu\Programs\Startup
• \Documents and Settings\All Users\Start Menu\Programs\Startup
3. Загружает и выполняет следующие файлы из серии предопределенных Web серверов:
• %Temp%\upd32a.exe
• %Temp%\kspd32a.exe
• %System%\navinst.exe
4. Затем червь открывает бекдор и ждет удаленных команд из IRC канала.
иногда помогают мелкие утилки антивирусные ..например
https://us.mcafee.com/virusInfo/default.asp?id=stinger
Ксати Почисти файл hosts
Оставь только строчку
127.0.0.1 localhost
knoxvilllle
Любитель
3/10/2008, 1:17:18 AM
Аргх....
После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!).Все проблемы как рукой сняло).В связи с этим вопрос: аудио кодеки на интегрированную карту без разницы какие ставить?Да и где их найти?
После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!).Все проблемы как рукой сняло).В связи с этим вопрос: аудио кодеки на интегрированную карту без разницы какие ставить?Да и где их найти?
Vertigo
Мастер
3/10/2008, 1:21:06 AM
После фикса и псевдо-проверки не смог запуститься в нормальном режиме.Переустановил винду(!!!)
Гхыгс...
А чо так? Удалял че-нить во время проверки?
Гхыгс...
А чо так? Удалял че-нить во время проверки?
knoxvilllle
Любитель
3/10/2008, 1:38:26 AM
во время проверки?да вроде нет.Ничего не нашло.По кодекам ответьте пожалуйста,а то я думал легко найду,а ни фига не подходит что-то.
knoxvilllle
Любитель
3/10/2008, 1:44:16 AM
Наверное я неправильно выразился.НЕ кодеки,а ДРАЙВЕРА.Ну или на интегрированную нет дров?А то она у меня теперь только пищит...
Vertigo
Мастер
3/10/2008, 2:23:31 AM
На сайте производителя материнской платы.
knoxvilllle
Любитель
3/10/2008, 3:39:43 AM
Всё разрешилось.Спасибо.
knoxvilllle
Любитель
3/13/2008, 2:29:42 AM
Я щас заплачу 
... Он вернулся!!!! А самое обидное что касперского установить не могу.Как-то я намудрил при последней установке,что он и не установлен и при повторной установке ошибку выдаёт.
Какой ещё антивирус можно установить чтоб хоть както помогло?
вот лог...Мне сразу не понравилось всё с 01...Что дальше делать то?
... Он вернулся!!!! А самое обидное что касперского установить не могу.Как-то я намудрил при последней установке,что он и не установлен и при повторной установке ошибку выдаёт.Какой ещё антивирус можно установить чтоб хоть както помогло?
вот лог...Мне сразу не понравилось всё с 01...Что дальше делать то?
knoxvilllle
Любитель
3/13/2008, 2:40:00 AM
И как этим гадам из локальной сети полностью запретить заход на мой компьютер?Т.е. они как бы могут заходить,но не видят никаких расшаренных ресуров и уходят,а могут ведь и нагадить наверное...
DELETED
Акула пера
3/13/2008, 3:09:23 AM
Сразу оговорюсь, что это моё субъективное мнение, но я не доверяю Касперскому и, тем более Нортону. Бывали прцеденты. У меня стоит Avast. Отличная штука. Ловит на входе. И хакерские атаки отражает. Попробуй поставить его. У меня недавно был аналогичный случай. Человек попросил помочь. Стрёх заходов не смог побороть заразу. Тебе надо проверить свой HDD с другого компа. Вирусы не лечи - без оглядки удаляй файлы. Важные файлы забэкапь на всякий случай. Потом попытайся загрузиться у себя на компе. Возможно потребуется восстановление винды. Если всё пройдёт удачно, то поставь AVAST и не отключай его автоматическое обновление. Не экономь на этом трафике - он важен. И проверяй антивирем на входе всё, что пытаешься засунуть в свой комп. Также проверяй скачанные файлы перед запуском и архивы перед распаковкой.
И ещё. Ты всё переустановил и опять появилась зараза? Вспомни детально, что ты в комп вставлял (флэшки, диски и т.п.). Возможно где-то там притаилась болезнь. перепроверь всё своё хозяйство на здоровом компе.
И ещё. Ты всё переустановил и опять появилась зараза? Вспомни детально, что ты в комп вставлял (флэшки, диски и т.п.). Возможно где-то там притаилась болезнь. перепроверь всё своё хозяйство на здоровом компе.
knoxvilllle
Любитель
3/13/2008, 8:08:53 PM
Кажись этот вирус ещё наглее чем предидущий...Не даёт запуститься никакому setup,за ОЧЕНЬ редким исключением.Кажись всё опять к переустановке идёт,если ничего выжать из лога не удасться...
Vertigo
Мастер
3/13/2008, 8:31:12 PM
Огромное количество червей.
W32/Sdbot-ACK:
C:\WINDOWS\System32\libsys32.exe
C:\WINDOWS\System32\libsys32.exe
Изменения, сделанные им в hosts:
O1 - Hosts: 82.146.60.44 postbank.de
O1 - Hosts: 82.146.60.44 www.postbank.de
O1 - Hosts: 82.146.60.44 banking.postbank.de
O1 - Hosts: 82.146.60.44 direkt.postbank.de
O1 - Hosts: 82.146.60.44 www.smile.co.uk
O1 - Hosts: 82.146.60.44 smile.co.uk
O1 - Hosts: 82.146.60.44 cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.co.uk
O1 - Hosts: 82.146.60.44 cahoot.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.com
O1 - Hosts: 82.146.60.44 co-operativebank.com
O1 - Hosts: 82.146.60.44 personal.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.co.uk
O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk
O1 - Hosts: 82.146.60.44 www.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.touchclarity.com
O1 - Hosts: 82.146.60.44 hsbc.co.uk
O1 - Hosts: 82.146.60.44 www.hsbc.co.uk
O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com
O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com
O1 - Hosts: 82.146.60.44 lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 www.lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 lloydstsb.com
O1 - Hosts: 82.146.60.44 www.lloydstsb.com
O1 - Hosts: 82.146.60.44 mi.lloydstsb.com
O1 - Hosts: 82.146.60.44 www.woolwich.co.uk
O1 - Hosts: 82.146.60.44 woolwich.co.uk
O1 - Hosts: 82.146.60.44 www.deutsche-bank.de
O1 - Hosts: 82.146.60.44 deutsche-bank.de
O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de
O1 - Hosts: 82.146.60.44 www.anbusiness.com
O1 - Hosts: 82.146.60.44 anbusiness.com
O1 - Hosts: 82.146.60.44 www.abbeyinternational.com
O1 - Hosts: 82.146.60.44 www.barclays.com
O1 - Hosts: 82.146.60.44 barclays.com
O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com
O1 - Hosts: 82.146.60.44 offshore.hsbc.com
NANPY-A WORM:
O4 - HKLM\..\Run: C:\WINDOWS\System32\mmsvc32.exe
KASSBOT-C WORM:
O4 - HKLM\..\Run: C:\WINDOWS\System32\spools.exe
Все тот же SDBOT-ACK WORM:
O4 - HKLM\..\Run: libsys32.exe
O4 - HKLM\..\RunServices: libsys32.exe
O23 - Service: NT login service (ntlogin32) - Unknown owner - C:\WINDOWS\System32\libsys32.exe
Старый знакомый DONK:
O4 - HKLM\..\Run: syslog32.exe
Но фиксим только это:
O9 - Extra button: Cтатистика Веб-Антивиру&# 1089;а - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing)
Качаем https://www.backbook.me/go/?id=1&d=&f=/files/94493373/KasEmergCD2008.rar (https://www.backbook.me/go/?id=2&d=superstar.&f=/5478872), создаем загрузочный диск из образа, загружаемся с него. После загрузки BartPE вместо кнопки Пуск, появится кнопка GO, запусти, найди Касперского и запусти его с полной проверкой компьютера.
Все, что нужно, Касперским удаляешь, делаешь лог, выкладываешь сюда.
W32/Sdbot-ACK:
C:\WINDOWS\System32\libsys32.exe
C:\WINDOWS\System32\libsys32.exe
Изменения, сделанные им в hosts:
O1 - Hosts: 82.146.60.44 postbank.de
O1 - Hosts: 82.146.60.44 www.postbank.de
O1 - Hosts: 82.146.60.44 banking.postbank.de
O1 - Hosts: 82.146.60.44 direkt.postbank.de
O1 - Hosts: 82.146.60.44 www.smile.co.uk
O1 - Hosts: 82.146.60.44 smile.co.uk
O1 - Hosts: 82.146.60.44 cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.com
O1 - Hosts: 82.146.60.44 www.cahoot.co.uk
O1 - Hosts: 82.146.60.44 cahoot.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 co-operativebank.co.uk
O1 - Hosts: 82.146.60.44 www.co-operativebank.com
O1 - Hosts: 82.146.60.44 co-operativebank.com
O1 - Hosts: 82.146.60.44 personal.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.co.uk
O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk
O1 - Hosts: 82.146.60.44 www.barclays.co.uk
O1 - Hosts: 82.146.60.44 barclays.touchclarity.com
O1 - Hosts: 82.146.60.44 hsbc.co.uk
O1 - Hosts: 82.146.60.44 www.hsbc.co.uk
O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com
O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com
O1 - Hosts: 82.146.60.44 lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 www.lloydstsb.co.uk
O1 - Hosts: 82.146.60.44 lloydstsb.com
O1 - Hosts: 82.146.60.44 www.lloydstsb.com
O1 - Hosts: 82.146.60.44 mi.lloydstsb.com
O1 - Hosts: 82.146.60.44 www.woolwich.co.uk
O1 - Hosts: 82.146.60.44 woolwich.co.uk
O1 - Hosts: 82.146.60.44 www.deutsche-bank.de
O1 - Hosts: 82.146.60.44 deutsche-bank.de
O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de
O1 - Hosts: 82.146.60.44 www.anbusiness.com
O1 - Hosts: 82.146.60.44 anbusiness.com
O1 - Hosts: 82.146.60.44 www.abbeyinternational.com
O1 - Hosts: 82.146.60.44 www.barclays.com
O1 - Hosts: 82.146.60.44 barclays.com
O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com
O1 - Hosts: 82.146.60.44 offshore.hsbc.com
NANPY-A WORM:
O4 - HKLM\..\Run: C:\WINDOWS\System32\mmsvc32.exe
KASSBOT-C WORM:
O4 - HKLM\..\Run: C:\WINDOWS\System32\spools.exe
Все тот же SDBOT-ACK WORM:
O4 - HKLM\..\Run: libsys32.exe
O4 - HKLM\..\RunServices: libsys32.exe
O23 - Service: NT login service (ntlogin32) - Unknown owner - C:\WINDOWS\System32\libsys32.exe
Старый знакомый DONK:
O4 - HKLM\..\Run: syslog32.exe
Но фиксим только это:
O9 - Extra button: Cтатистика Веб-Антивиру&# 1089;а - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing)
Качаем https://www.backbook.me/go/?id=1&d=&f=/files/94493373/KasEmergCD2008.rar (https://www.backbook.me/go/?id=2&d=superstar.&f=/5478872), создаем загрузочный диск из образа, загружаемся с него. После загрузки BartPE вместо кнопки Пуск, появится кнопка GO, запусти, найди Касперского и запусти его с полной проверкой компьютера.
Все, что нужно, Касперским удаляешь, делаешь лог, выкладываешь сюда.
do-do
Мастер
3/13/2008, 8:43:18 PM
Блин ..весело живете :) Мне бы хоть одного виря у себя на компе увидать.
knoxvilllle
Любитель
3/13/2008, 8:45:48 PM
Да где я их подхватить то успел?Два дня прошло после переустановки.На всё выше перечисленное уйдёт какоето время.