Компьютер самопроизвольно перегружается постоянно.
При загрузке всплывает окно "Мои документы".
Выполняя Ваши правила, получил странный результат: после выполнения первого скрипта и перезагрузки перестал запускаться AVZ. Что делать?
Компьютер самопроизвольно перегружается постоянно.
При загрузке всплывает окно "Мои документы".
Выполняя Ваши правила, получил странный результат: после выполнения первого скрипта и перезагрузки перестал запускаться AVZ. Что делать?
Последний раз редактировалось sparrow; 15.09.2007 в 23:23.
AVZ много поудаляла.
В Safe Mode попробовать сделать логи + доп.лог http://virusinfo.info/showthread.php?t=10387
Уже можно загружать карантин через ссылку вверху темы.
Как много же Вы накопили? М.б. проще будет пролечиться Cure-It от Доктора Веба (ссылка в Правилах).
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не хватает virusinfo_syscheck.zip.
Опыт — это слово, которым люди называют свои ошибки.
Cure-It предварительно пролечились.
Дополн.логи прицепляю.
Последний раз редактировалось sparrow; 15.09.2007 в 23:23.
sparrow, переделать. поменять имя авз и запускать только под админом
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Не понял, что переделать?
Все логи сначала? На что поменять имя АВЗ?
P.S. Отправляю карантин
Добавлено через 50 секунд
Файл сохранён как 070912_015912_virus_46e78e409bb18.zip
Размер файла 6124
MD5 ea469b0a0b4324b48d1bc3b20a59e203
Последний раз редактировалось sparrow; 12.09.2007 в 10:59. Причина: Добавлено
На время выполнения скриптов, отключите антивирусный монитор, отключите восстановление системы и отключитесь от сети. Переименуйте файл avz.exe в 123.com , например, и попробуйте запустить программу. Если AVZ запустится, то файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=12383 , как написано в прил.3 правил, и сделайте новые логи.Код:begin Clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('Gaa26.sys',''); QuarantineFile('C:\WINDOWS\system32\Gaa26.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Gaa26.sys',''); QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll',''); QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe',''); QuarantineFile('C:\WINDOWS\system32\SysCVMS.exe',''); QuarantineFile('C:\Program Files\WinAble\winable.exe',''); QuarantineFile('C:\WINDOWS\system32\simp_dll.dll',''); DeleteFile('C:\WINDOWS\system32\simp_dll.dll'); BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll'); DeleteFile('C:\WINDOWS\system32\SysCVMS.exe'); BC_DeleteFile('C:\WINDOWS\system32\SysCVMS.exe'); DeleteFile('C:\WINDOWS\system32\spoolsvv.exe'); BC_DeleteFile('C:\WINDOWS\system32\spoolsvv.exe'); DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); DeleteFile('C:\Program Files\WinAble\winable.exe'); BC_DeleteFile('C:\Program Files\WinAble\winable.exe'); DeleteFile('C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); BC_ImportQuarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Выполнено.
Карантин заархивирован сразу после выполнения присланного скрипта, до выполнения стандартных.
Последний раз редактировалось sparrow; 15.09.2007 в 23:23.
Файл сохранён как 070912_042126_virus_46e7af963b576.zip
Размер файла 351486
MD5 55e564e4efcfd091ea0f16ada56331eb
Да уж... На время выполнения скриптов, отключите антивирусный монитор, отключите восстановление системы и отключитесь от сети. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, пофиксите с помощью Hijackthis строчки:Код:begin Clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe',''); QuarantineFile('C:\WINDOWS\system32\spooldr.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\Gaa26.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\Gaa26.sys'); DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys'); BC_DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys'); BC_DeleteSVC('aspimgr'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end., загрузите снова карантин AVZ и повторите логи, начиная с п. 10 правил. Дистрибутив Windows у вас есть под рукой? Если нет - ищите, похоже, что пропатчены системные файлы, их, вероятно, придется восстанавливать с дистрибутиваКод:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing) O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe O4 - HKLM\..\Run: [SysCVMS.exe] C:\WINDOWS\system32\SysCVMS.exe O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
Дистрибутив есть.
Логи прицепляю.
Файл сохранён как
070913_002237_virus_46e8c91d2735f.zip
Размер файла15983MD5e701beabd482fe060c2bb14b69fb32b5
Последний раз редактировалось sparrow; 31.07.2009 в 12:07.
То, что попало в карантин - Email-Worm.Win32.Zhelatin.it
В единственном экземпляре.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
? Что сделать-то?
Один зверь остался. Наверное, давайте так: скачайте бету cureit! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe . Перезагрузитесь в безопасном режиме . Предварительно через AVZ попробуйте найти и добавить в карантин два файла:После этого, запустите CureIt! и проведите полную проверку. ВНИМАНИЕ: программа CureIt! сначала проводит экспресс-проверку, по окончании которой следует отметить пункт "Полная проверка" и нажать кнопку "старт". Следите за логом - скорее всего, будет удален, как неизлечимый, файл C:\WINDOWS\system32\simp_dll.dll и вылечен файл c:\windows\system32\DRIVERS\tcpip.sys . Если какой-то из файлов c:\windows\system32\DRIVERS\tcpip.sys или c:\windows\system32\ntoskrnl.exe будет удален в ходе проверки, то на диске с дистрибутивом Windows найдите, соответственно, tcpip.sy_ и ntoskrnl.ex_ , переименуйте в файлы с расширением .rar и распакуйте полученные архивы. Полученные файлы следует поместить, соответственно, tcpip.sys - в c:\windows\system32\DRIVERS\ ; ntoskrnl.exe - в c:\windows\system32\ . По окончании проверки, загрузитесь в обычном режиме, пришлите содержимое карантина AVZ и сделайте новые логи по проавилам.Код:c:\windows\system32\DRIVERS\tcpip.sys c:\windows\system32\ntoskrnl.exe
Добавлено через 1 час 6 минут
to PavelA : там был предыдущий карантин неплохой:
C:\WINDOWS\system32\drivers\Gaa26.sys - Rootkit.Win32.Agent.ea
C:\WINDOWS\system32\ipv6monl.dll - Trojan-Spy.Win32.BZub.ih
C:\WINDOWS\system32\spoolsvv.exe - Trojan-Proxy.Win32.Agent.oz
C:\WINDOWS\system32\SysCVMS.exe - Packed.Win32.PolyCrypt.d
C:\Program Files\WinAble\winable.exe - Trojan-Downloader.Win32.Adload.lj
C:\WINDOWS\system32\simp_dll.dll - SpamTool.Win32.Agent.u
(все - по классификации Касперского)
Последний раз редактировалось Numb; 13.09.2007 в 12:18. Причина: Добавлено
Файл сохранён как070913_050200_virus_46e90a985ef82.zipРазмер файла1576532MD5f96f08470a051b8c6395726e92ee88a7
1.Запрошенные файлы нашел (почему-то АВЗ поиск не находит по полному имени, а с помощью масок *tcpip.sys и *ntoskrnl.exe находит) и отправил.
2.С:\WINDOWS\system32\simp_dll.dll исцелен с рестартом.
3.На c:\windows\system32\DRIVERS\tcpip.sys бета cureit! не реагирует.
4. c:\windows\system32\ntoskrnl.exe исцелен.
5.Восстановление указанных файлов с дистрибутива не делал, т.к. они и не удалялись.
P.S. По прежнему при каждой загрузке всплывает окно "Мои документы" и не запускается диспетчер задач (отключен администратором ).
Последний раз редактировалось sparrow; 31.07.2009 в 12:07.
Касперский определяет c:\windows\system32\DRIVERS\tcpip.sys как Trojan.Win32.Patched.ao, причем не лечит, только удаляет. Соответственно, перезагружайтесь в безопасном режиме и восстанавливайте его с дистрибутива, как я писал ранее.
После этого, загрузитесь в обычном режиме и выполните: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.Код:begin executerepair(6); rebootwindows(true); end.
Выполнил.
Стал запускаться диспетчер задач.
Но не могу посмотреть параметры брэндмауэра. ( при попытке посмотреть их - сообщение:"вследствии неопределенной ошибки не удается определить параметры брэндмауэра")
Последний раз редактировалось sparrow; 31.07.2009 в 12:07.
Совет от Олега Зайцева:
в AVZ меню "Файл\резервное копирование", там следует отметить пункт номер 7 и нажать "выполнить". После этого в папке AVZ\BackUp появится User_WF.reg_<дата-время>.reg. Его следует прицепить сюда в архиве ZIP (это настройки брандмауэра Windows). Далее AVZ, Меню "Файл\Восстановление системы", там выделиьт позиции 6 и 9 и выполнить восстановление. Сразу после этого можно попоробовать открыть настройки брандмауэра, может сработает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вдогонку, если совет от PavelA не поможет, посмотрите вот эту - http://virusinfo.info/showthread.php?t=12078 , и эту - http://virusinfo.info/showpost.php?p...0&postcount=15 ссылки.
Еще, что из перечисленного действительно используется?В принципе, если машина не включена в локальную сеть и к ней не организован удаленный доступ, можно отключить практически все из спискаКод:8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Уважаемый(ая) sparrow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.