Значит, не все извели. Повторяйте логи.теперь services.exe запрашивает соединение с navlot.com...
Svchost.exe запрашивает подозрительные соединения
Автор
Flap_22
, апр 26 2010 09:22
49 ответов в этой теме
#21
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 27 Апрель 2010 - 11:26
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#22
Flap_22
-
- Posters
- 109 Сообщений:
Member
Отправлено 27 Апрель 2010 - 13:57
вот
Прикрепленные файлы:
-
hijackthis.zip 3,79К
18 Скачано раз
-
Report.zip 5,54К
24 Скачано раз
-
drw_results.cab 30,46К
15 Скачано раз
#23
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 27 Апрель 2010 - 14:17
Пофиксите в Хайджеке и посмотрите, не появляются ли записи:вот
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ffd0276a.exe,\\?\globalroot\systemroot\system32\9BCQLEO.exe,
А лог КуреИта где?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#24
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 27 Апрель 2010 - 14:26
возьмите прилагаемый drweb_scan.zip вместо того, что из правил, и с помощью него сделайте лог сканера.вот
drweb_scan.zip 1,51К
20 Скачано раз
#25
Flap_22
-
- Posters
- 109 Сообщений:
Member
Отправлено 27 Апрель 2010 - 14:42
Пофиксите в Хайджеке и посмотрите, не появляются ли записи:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ffd0276a.exe,\\?\globalroot\systemroot\system32\9BCQLEO.exe,
сделал, записи не появляются
возьмите прилагаемый drweb_scan.zip вместо того, что из правил, и с помощью него сделайте лог сканера.
получается все тоже самое
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ffd0276a.exe,\\?\globalroot\systemroot\system32\9BCQLEO.exe,
сделал, записи не появляются
возьмите прилагаемый drweb_scan.zip вместо того, что из правил, и с помощью него сделайте лог сканера.
получается все тоже самое
#26
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 27 Апрель 2010 - 14:48
Просто запустите сканер. Как отработает стартовую проверку - закрывайте, лог сюда.получается все тоже самое
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#27
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 27 Апрель 2010 - 14:48
не может быть.получается все тоже самоевозьмите прилагаемый drweb_scan.zip вместо того, что из правил, и с помощью него сделайте лог сканера.
сам сканер из агента или по ярлыку запускается?
файл drweb-scan.bat достали из архива, прежде чем запускать? Сделайте ещё раз, приложите drw_results.cab
#28
Flap_22
-
- Posters
- 109 Сообщений:
Member
Отправлено 27 Апрель 2010 - 15:41
есть, получилось вроде
нашлось 2 вируса, веб переместил их.
Что с ними делать? удалить их из папки Infected?
нашлось 2 вируса, веб переместил их.
Что с ними делать? удалить их из папки Infected?
Прикрепленные файлы:
-
drw_results.cab 115,75К
17 Скачано раз
#29
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 27 Апрель 2010 - 15:53
А где это в логе?нашлось 2 вируса, веб переместил их.
Что с ними делать? удалить их из папки Infected?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#31
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 27 Апрель 2010 - 16:02
Зачем такой скриншот? Там же ноль информации по делу.так что мне делать с этими инфицированными файлами которые в папке infected?
Нужна запись в логе CureIt!, где видно как сканер эти файлы детектит и в какое время был детект
#33
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 27 Апрель 2010 - 16:09
имелся ввиду сканер.в правилах же написано "Если у Вас НЕ установлен Drweb
Скачайте свежий CureIt - это будет файл размером около 14 Мб"...
Мне значит все равно проделать операции с CureIt[ sensored ]?
рестарт, обновите drweb, сделайте новый комплект логов для контроля.
#34
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 27 Апрель 2010 - 16:09
АВ-Деск засчитывается за устновленного Доктора.в правилах же написано "Если у Вас НЕ установлен Drweb
Скачайте свежий CureIt - это будет файл размером около 14 Мб"...
Мне значит все равно проделать операции с CureIt[ sensored ]?
Что в логе спайдера по перемещенным сусликам?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#35
Flap_22
-
- Posters
- 109 Сообщений:
Member
Отправлено 27 Апрель 2010 - 16:16
а где и как сделать лог спайдера?
#36
Flap_22
-
- Posters
- 109 Сообщений:
Member
Отправлено 27 Апрель 2010 - 16:17
это лог спайдера?
Прикрепленные файлы:
-
SpIDer.zip 66,87К
13 Скачано раз
#37
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 27 Апрель 2010 - 16:21
Да.это лог спайдера?
У Вас там только один инфицированный файл виден:
Зашлите его сюда http://vms.drweb.com/sendvirus в категорию Запрос на лечение с описанием ситуации.27-04-2010 17:53:33 [CL] (PID = 0640) C:\windows\system32\SETB.tmp - инфицирован Trojan.Starter.origin
27-04-2010 17:53:33 [CL] (PID = 0640) C:\windows\system32\SETB.tmp - перемещен как 'C:\Program Files\DrWeb AV-Desk\Infected.!!!\SETB.tmp.695E243B'
#38
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 27 Апрель 2010 - 16:26
Если не перегружались, кто такой процесс с PID = 0640 ?Да.это лог спайдера?
У Вас там только один инфицированный файл виден:Зашлите его сюда http://vms.drweb.com/sendvirus в категорию Запрос на лечение с описанием ситуации.27-04-2010 17:53:33 [CL] (PID = 0640) C:\windows\system32\SETB.tmp - инфицирован Trojan.Starter.origin
27-04-2010 17:53:33 [CL] (PID = 0640) C:\windows\system32\SETB.tmp - перемещен как 'C:\Program Files\DrWeb AV-Desk\Infected.!!!\SETB.tmp.695E243B'
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#39
Flap_22
-
- Posters
- 109 Сообщений:
Member
Отправлено 27 Апрель 2010 - 16:29
Зашлите его сюда http://vms.drweb.com/sendvirus в категорию Запрос на лечение с описанием ситуации.
Все сделал
Все сделал
#40
Flap_22
-
- Posters
- 109 Сообщений:
Member
Отправлено 27 Апрель 2010 - 16:31
"кто такой процесс с PID = 0640 ? "
я не понял
я не понял
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых
