-
Junior Member
- Вес репутации
- 53
Посмотрите, пожалуйста, логи.
Добрый день.
В процессе работы компьютера регулярно наблюдались зависания системы и разрывы соединения с интернетом. Было произведено сканирование CureIt'ом, результат - 33 трояна было удалено. Сейчас вроде все ровно.
Пожалуйста, посмотрите логи на предмет оставшихся хвостов.
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Добрый день.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll','');
BC_ImportAll;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.
-
-
Junior Member
- Вес репутации
- 53
GMER подвешивает систему в момент сохранения лога.
Карантин закачал
Файл сохранён как 100123_163203_quarantine_4b5afa53d6c32.zip
Размер файла 242242
MD5 67f0e2d3f3b0e2142a43e9b105cbe4c5
-
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
AddToLog(inttostr(BC_ServiceKill('bcqhey')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Попробуйте еще раз сделать лог gmer.
-
-
Junior Member
- Вес репутации
- 53
Скрипт не выполняется. Сразу после запуска вылетает ошибка.
-
Сделайте так, закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- восстановление системы;
- выполните скрипт
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('vtfwjtcq');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('J:\autorun.inf','');
DeleteFile('J:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Затем сделайте лог Gmer
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Лог Gmer прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
Карантин залил.
Файл сохранён как 100124_142536_virus_4b5c2e308a958.zip
Размер файла 61650
MD5 ca4bb5b6937efa545d169eb9a5ea8ab5
Лог GMER прилагаю.
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится i4xd0qd6.exe (gmer)
Код:
i4xd0qd6.exe -del service vtfwjtcq
i4xd0qd6.exe -del file "C:\WINDOWS\system32\izflii.dll"
i4xd0qd6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vtfwjtcq"
i4xd0qd6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vtfwjtcq"
i4xd0qd6.exe -reboot
И запустите cleanup.bat Компьютер перезагрузится. Сделать новый лог gmer
-
-
Junior Member
- Вес репутации
- 53
После запуска cleanup.bat выскакивает сообщение "не найден указанный модуль"
Запустился с работающим gmer-ом. Сейчас лог сделаю.
Последний раз редактировалось Суббота; 24.01.2010 в 18:17.
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
В логе чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
Спасибо, вроде как все ровно. Если возможно, не закрывайте, пожалуйста, тему денек-другой.
-
Хорошо. Понаблюдайте за системой, если будут проблемы-- сделайте комплект логов.
-
-
Junior Member
- Вес репутации
- 53
Добрый день.
После лечения системы восстановилась нормальная работа системы и сети. НО...
Не могу зайти на сайт Майкрософта, соответственно не могу загрузить обновления винды, не открывается Вконтакте и еще некоторые сайты. Свежеустановленный NIS 2010 ругается на mmc.exe, предлагает его удалить, ссылаясь на его подозрительное поведение. Посмотрите, пожалуйста, новые логи.
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(8);
Executerepair(13);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил.
Новые логи
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
В логах чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
Изначальная проблема решена полностью. Вот только такое ощущение, что во время лечения (перед началом я снес Авиру, после - поставил НИС) я что-то хапнул. В целом - все стабильно, но рассылка спама - раз, невозможность работать с IE - два (он заходит не туда, куда его просят, а на какие-то левые поисковики).