Сообщение было изменено evaxp: 24 Март 2010 - 00:24
Атачи крепим на форуме.
Muldrop который раскидыватся Trojan.pws.ibank.28
Автор
DaiverDark
, мар 24 2010 00:16
9 ответов в этой теме
#1
DaiverDark
-
- Members
- 2 Сообщений:
Newbie
Отправлено 24 Март 2010 - 00:16
Помогите плз, подцепил тут Muldrop который раскидыватся Trojan.pws.ibank.28. вроде всё зачистил, удалил его, а вот сайт др вебера блокирует (как и остальных антивирусников) и система стала поддтормаживать раз в 5 сек постоянно. Вот лог хайджека
#2
account has been deleted
-
- Posters
- 2 837 Сообщений:
Massive Poster
#4
DaiverDark
-
- Members
- 2 Сообщений:
Newbie
Отправлено 24 Март 2010 - 09:37
Извиняюсь, забыл) подтормаживание прошло после перезагрузки) остались сайты
У меня аваст стоит, обновлённый, автораны впритык не видит, в system32 парочку нашёл только (логи в архиве)
+ ко всему в реестре с winlogon убрал запуск некоего userinit.exe (скорее всего сам muldrop) но самого файла, почему-то, я там не нашёл (в system32)
pig да, действительно в роуте проблема (логи в архиве), нашёл в реестре \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\PersistentRoutes
ну и соответственно в ControlSet002, CurrentControlSet весь список ip ))) сайты открываются, спасибо большое
кстати интересная фишка для админов, если вбить другие ip)
если кому надо - скинул отдельным архивом экспорт из реестра)))
У меня аваст стоит, обновлённый, автораны впритык не видит, в system32 парочку нашёл только (логи в архиве)
+ ко всему в реестре с winlogon убрал запуск некоего userinit.exe (скорее всего сам muldrop) но самого файла, почему-то, я там не нашёл (в system32)
pig да, действительно в роуте проблема (логи в архиве), нашёл в реестре \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\PersistentRoutes
ну и соответственно в ControlSet002, CurrentControlSet весь список ip ))) сайты открываются, спасибо большое
кстати интересная фишка для админов, если вбить другие ip)
если кому надо - скинул отдельным архивом экспорт из реестра)))
Прикрепленные файлы:
-
reg_export.rar 2,84К
24 Скачано раз
-
Logs.rar 89,93К
22 Скачано раз
Сообщение было изменено DaiverDark: 24 Март 2010 - 09:38
#5
ninulik
-
- Posters
- 194 Сообщений:
Member
Отправлено 01 Апрель 2010 - 01:59
Извиняюсь, забыл) подтормаживание прошло после перезагрузки) остались сайты
У меня аваст стоит, обновлённый, автораны впритык не видит, в system32 парочку нашёл только (логи в архиве)
+ ко всему в реестре с winlogon убрал запуск некоего userinit.exe (скорее всего сам muldrop) но самого файла, почему-то, я там не нашёл (в system32)
pig да, действительно в роуте проблема (логи в архиве), нашёл в реестре \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\PersistentRoutes
ну и соответственно в ControlSet002, CurrentControlSet весь список ip ))) сайты открываются, спасибо большое
кстати интересная фишка для админов, если вбить другие ip)
если кому надо - скинул отдельным архивом экспорт из реестра)))
Я не поняла, что нужно сделать с реестром? Я тоже нашла у себя в реестре ControlSet001, ControlSet002 и даже ControlSet003 с CurrentControlSet.
А делать то с ними что нужно? Плиз...
Чтобы починить компьютер, не обязательно быть технически подкованным человеком, важно иметь технически подкованных друзей. 
)
#7
Rvs2
-
- Members
- 2 Сообщений:
Newbie
Отправлено 01 Апрель 2010 - 11:34
Была аналогичная проблема, вирус блокировал сайты:
1. Скачал CureIt! убил вирус (но сайты не грузились)
2. Посмотрел C:\WINDOWS\SYSTEM32\drivers\etc\hosts чист
3. Глянул сюда норма [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
4. Глянул сюда HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\PersistentRoutes, а вот тут еже мусор удалил всё кроме первой строки (По умолчанию значение не заданно ). Почистил во всех ControlSet-ах перезагрузил машину и всё пошло.
Перед тем как править реестр сохраните его ветки, на всякий случай!!!
P.S. Решил написать, т.к. создали уже три ветки и не водной не было нормально описанно как всё это дло закончить если вируса уже нет!!!
1. Скачал CureIt! убил вирус (но сайты не грузились)
2. Посмотрел C:\WINDOWS\SYSTEM32\drivers\etc\hosts чист
3. Глянул сюда норма [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
4. Глянул сюда HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\PersistentRoutes, а вот тут еже мусор удалил всё кроме первой строки (По умолчанию значение не заданно ). Почистил во всех ControlSet-ах перезагрузил машину и всё пошло.
Перед тем как править реестр сохраните его ветки, на всякий случай!!!
P.S. Решил написать, т.к. создали уже три ветки и не водной не было нормально описанно как всё это дло закончить если вируса уже нет!!!
Сообщение было изменено Rvs2: 01 Апрель 2010 - 11:41
#8
pwlnw
-
- Posters
- 18 Сообщений:
Newbie
Отправлено 01 Апрель 2010 - 11:39
А зачем фокусы с реестром, если для очистки путей можно запустить "route -f" ?
#9
Rvs2
-
- Members
- 2 Сообщений:
Newbie
Отправлено 01 Апрель 2010 - 11:44
А зачем фокусы с реестром, если для очистки путей можно запустить "route -f" ?
Ручной контроль так надёжней, ну и ещё если честно то и забыл про "route -f"
#10
PAUK
-
- Posters
- 3 236 Сообщений:
Guru
Отправлено 01 Апрель 2010 - 11:48
А все ЭТО написано давным-давно в первых строках темы помощь по лечению...ну и ещё если честно то и забыл про "route -f" rolleyes.gif
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
