Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Помогите почистить зверинец (заявка № 12383)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61

    Thumbs up Помогите почистить зверинец

    Компьютер самопроизвольно перегружается постоянно.
    При загрузке всплывает окно "Мои документы".
    Выполняя Ваши правила, получил странный результат: после выполнения первого скрипта и перезагрузки перестал запускаться AVZ. Что делать?
    Последний раз редактировалось sparrow; 15.09.2007 в 23:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    AVZ много поудаляла.

    В Safe Mode попробовать сделать логи + доп.лог http://virusinfo.info/showthread.php?t=10387

    Уже можно загружать карантин через ссылку вверху темы.

    Как много же Вы накопили? М.б. проще будет пролечиться Cure-It от Доктора Веба (ссылка в Правилах).
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Не хватает virusinfo_syscheck.zip.
    Опыт — это слово, которым люди называют свои ошибки.

  5. #4
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Cure-It предварительно пролечились.
    Дополн.логи прицепляю.
    Последний раз редактировалось sparrow; 15.09.2007 в 23:23.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    sparrow, переделать. поменять имя авз и запускать только под админом

  7. #6
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Не понял, что переделать?
    Все логи сначала? На что поменять имя АВЗ?
    P.S. Отправляю карантин

    Добавлено через 50 секунд

    Файл сохранён как 070912_015912_virus_46e78e409bb18.zip
    Размер файла 6124
    MD5 ea469b0a0b4324b48d1bc3b20a59e203
    Последний раз редактировалось sparrow; 12.09.2007 в 10:59. Причина: Добавлено

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    На время выполнения скриптов, отключите антивирусный монитор, отключите восстановление системы и отключитесь от сети. Переименуйте файл avz.exe в 123.com , например, и попробуйте запустить программу. Если AVZ запустится, то файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('Gaa26.sys','');
    QuarantineFile('C:\WINDOWS\system32\Gaa26.sys','');
    QuarantineFile('C:\WINDOWS\system32\drivers\Gaa26.sys','');
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
     QuarantineFile('C:\WINDOWS\system32\SysCVMS.exe','');
     QuarantineFile('C:\Program Files\WinAble\winable.exe','');
     QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
     DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
     BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
     DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
     BC_DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
     DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     DeleteFile('C:\Program Files\WinAble\winable.exe');
     BC_DeleteFile('C:\Program Files\WinAble\winable.exe');
     DeleteFile('C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe');
     BC_DeleteFile('C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=12383 , как написано в прил.3 правил, и сделайте новые логи.

  9. #8
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Выполнено.
    Карантин заархивирован сразу после выполнения присланного скрипта, до выполнения стандартных.
    Последний раз редактировалось sparrow; 15.09.2007 в 23:23.

  10. #9
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Файл сохранён как 070912_042126_virus_46e7af963b576.zip
    Размер файла 351486
    MD5 55e564e4efcfd091ea0f16ada56331eb

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Да уж... На время выполнения скриптов, отключите антивирусный монитор, отключите восстановление системы и отключитесь от сети. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINDOWS\system32\spooldr.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\Gaa26.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\Gaa26.sys');
     DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
     BC_DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
    BC_DeleteSVC('aspimgr');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пофиксите с помощью Hijackthis строчки:
    Код:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
    O4 - HKLM\..\Run: [SysCVMS.exe] C:\WINDOWS\system32\SysCVMS.exe
    O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
    , загрузите снова карантин AVZ и повторите логи, начиная с п. 10 правил. Дистрибутив Windows у вас есть под рукой? Если нет - ищите, похоже, что пропатчены системные файлы, их, вероятно, придется восстанавливать с дистрибутива

  12. #11
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Дистрибутив есть.
    Логи прицепляю.









    Файл сохранён как











    070913_002237_virus_46e8c91d2735f.zip
    Размер файла15983MD5e701beabd482fe060c2bb14b69fb32b5
    Последний раз редактировалось sparrow; 31.07.2009 в 12:07.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    То, что попало в карантин - Email-Worm.Win32.Zhelatin.it
    В единственном экземпляре.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    ? Что сделать-то?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Один зверь остался. Наверное, давайте так: скачайте бету cureit! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe . Перезагрузитесь в безопасном режиме . Предварительно через AVZ попробуйте найти и добавить в карантин два файла:
    Код:
    c:\windows\system32\DRIVERS\tcpip.sys
    c:\windows\system32\ntoskrnl.exe
    После этого, запустите CureIt! и проведите полную проверку. ВНИМАНИЕ: программа CureIt! сначала проводит экспресс-проверку, по окончании которой следует отметить пункт "Полная проверка" и нажать кнопку "старт". Следите за логом - скорее всего, будет удален, как неизлечимый, файл C:\WINDOWS\system32\simp_dll.dll и вылечен файл c:\windows\system32\DRIVERS\tcpip.sys . Если какой-то из файлов c:\windows\system32\DRIVERS\tcpip.sys или c:\windows\system32\ntoskrnl.exe будет удален в ходе проверки, то на диске с дистрибутивом Windows найдите, соответственно, tcpip.sy_ и ntoskrnl.ex_ , переименуйте в файлы с расширением .rar и распакуйте полученные архивы. Полученные файлы следует поместить, соответственно, tcpip.sys - в c:\windows\system32\DRIVERS\ ; ntoskrnl.exe - в c:\windows\system32\ . По окончании проверки, загрузитесь в обычном режиме, пришлите содержимое карантина AVZ и сделайте новые логи по проавилам.

    Добавлено через 1 час 6 минут

    to PavelA : там был предыдущий карантин неплохой:
    C:\WINDOWS\system32\drivers\Gaa26.sys - Rootkit.Win32.Agent.ea
    C:\WINDOWS\system32\ipv6monl.dll - Trojan-Spy.Win32.BZub.ih
    C:\WINDOWS\system32\spoolsvv.exe - Trojan-Proxy.Win32.Agent.oz
    C:\WINDOWS\system32\SysCVMS.exe - Packed.Win32.PolyCrypt.d
    C:\Program Files\WinAble\winable.exe - Trojan-Downloader.Win32.Adload.lj
    C:\WINDOWS\system32\simp_dll.dll - SpamTool.Win32.Agent.u
    (все - по классификации Касперского)
    Последний раз редактировалось Numb; 13.09.2007 в 12:18. Причина: Добавлено

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Numb Посмотреть сообщение
    to PavelA : там был предыдущий карантин неплохой:
    C:\WINDOWS\system32\drivers\Gaa26.sys - Rootkit.Win32.Agent.ea
    C:\WINDOWS\system32\ipv6monl.dll - Trojan-Spy.Win32.BZub.ih
    C:\WINDOWS\system32\spoolsvv.exe - Trojan-Proxy.Win32.Agent.oz
    C:\WINDOWS\system32\SysCVMS.exe - Packed.Win32.PolyCrypt.d
    C:\Program Files\WinAble\winable.exe - Trojan-Downloader.Win32.Adload.lj
    C:\WINDOWS\system32\simp_dll.dll - SpamTool.Win32.Agent.u
    (все - по классификации Касперского)
    Да, я обратил внимание на этот зверинец. Мой комментарий был про посл. загруженный.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Файл сохранён как070913_050200_virus_46e90a985ef82.zipРазмер файла1576532MD5f96f08470a051b8c6395726e92ee88a7

    1.Запрошенные файлы нашел (почему-то АВЗ поиск не находит по полному имени, а с помощью масок *tcpip.sys и *ntoskrnl.exe находит) и отправил.
    2.С:\WINDOWS\system32\simp_dll.dll исцелен с рестартом.
    3.На c:\windows\system32\DRIVERS\tcpip.sys бета cureit! не реагирует.
    4. c:\windows\system32\ntoskrnl.exe исцелен.
    5.Восстановление указанных файлов с дистрибутива не делал, т.к. они и не удалялись.
    P.S. По прежнему при каждой загрузке всплывает окно "Мои документы" и не запускается диспетчер задач (отключен администратором ).
    Последний раз редактировалось sparrow; 31.07.2009 в 12:07.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Касперский определяет c:\windows\system32\DRIVERS\tcpip.sys как Trojan.Win32.Patched.ao, причем не лечит, только удаляет. Соответственно, перезагружайтесь в безопасном режиме и восстанавливайте его с дистрибутива, как я писал ранее.
    После этого, загрузитесь в обычном режиме и выполните: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    executerepair(6);
    rebootwindows(true);
    end.
    Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.

  19. #18
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Выполнил.
    Стал запускаться диспетчер задач.
    Но не могу посмотреть параметры брэндмауэра. ( при попытке посмотреть их - сообщение:"вследствии неопределенной ошибки не удается определить параметры брэндмауэра")
    Последний раз редактировалось sparrow; 31.07.2009 в 12:07.

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Совет от Олега Зайцева:
    в AVZ меню "Файл\резервное копирование", там следует отметить пункт номер 7 и нажать "выполнить". После этого в папке AVZ\BackUp появится User_WF.reg_<дата-время>.reg. Его следует прицепить сюда в архиве ZIP (это настройки брандмауэра Windows). Далее AVZ, Меню "Файл\Восстановление системы", там выделиьт позиции 6 и 9 и выполнить восстановление. Сразу после этого можно попоробовать открыть настройки брандмауэра, может сработает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Вдогонку, если совет от PavelA не поможет, посмотрите вот эту - http://virusinfo.info/showthread.php?t=12078 , и эту - http://virusinfo.info/showpost.php?p...0&postcount=15 ссылки.
    Еще, что из перечисленного действительно используется?
    Код:
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    В принципе, если машина не включена в локальную сеть и к ней не организован удаленный доступ, можно отключить практически все из списка

  • Уважаемый(ая) sparrow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. зверинец
      От tft в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.05.2010, 23:46
    2. LoveSan и еще какой-то зверинец
      От SilverFire в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 25.02.2010, 17:10
    3. Пытаемся вытравить зверинец
      От Lamer в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.03.2008, 15:25
    4. DRweb нашел зверинец
      От glit в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.01.2008, 17:44
    5. помогите добитиь зверинец
      От fotorama в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 06.12.2007, 13:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00217 seconds with 17 queries