трояны и вирусы
Здравствуйте.
Вот в чем проблема-
компьютер перезагружается, когда запускаю HiJackThis комп перезагружается, такое случается не только с этой прогой но и с некоторыми другими. Также он перезагружатеся когда я пытался закачать HiJackThis с вашего сайта и во время игры в cs:SOurce.
Есть подрзрения что это снова эксплораси.
лог HiJackThis сделать не смог, причины описанны выше. другие логи прилагаются
заранее благодарен
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Переименуй HiJackThis в 1.exe
Отключи "Восстановление системы".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
успел переимновать, он перезагрузился опять=(((Сообщение от PavelA
пытался из архива в другю папку, тоже самое.
кароче эта прога что то не пашет.
ВОССТАНОВЛЕНИЕ ТОЛЬКО ЧТО ОТКЛЮЧИЛ
1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe',''); QuarantineFile('E:\Documents and Settings\Юсупов\Главное меню\Программы\Автозагрузка\Empty.pif',''); QuarantineFile('E:\WINDOWS\eksplorasi.exe',''); QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\csrss.exe',''); QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\lsass.exe',''); QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\services.exe',''); QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\winlogon.exe',''); QuarantineFile('D:\Program Files\Yahoo!\Widgets\sqlite3.dll',''); QuarantineFile('D:\Program Files\Yahoo!\Widgets\js32.dll',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('E:\autorun.inf',''); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('e:\documents and settings\Юсупов\local settings\application data\csrss.exe'); DeleteFile('e:\documents and settings\Юсупов\local settings\application data\services.exe'); DeleteFile('e:\documents and settings\Юсупов\local settings\application data\winlogon.exe'); DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\lsass.exe'); DeleteFile('E:\WINDOWS\eksplorasi.exe'); DeleteFile('E:\Documents and Settings\Юсупов\Главное меню\Программы\Автозагрузка\Empty.pif'); DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\smss.exe'); DeleteFile('E:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(12); ExecuteRepair(13); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13070
2.Вполне возможно нужно будет воспользоваться инструкцией: http://virusinfo.info/showpost.php?p=102984&postcount=1
3.Попытайтесь ещё раз по инструкции :http://virusinfo.info/showthread.php?t=12591
нужен лог hijack this- там как минимум один ключик подлежит удалению.
4.сделайте новые логи.
Последний раз редактировалось drongo; 10.10.2007 в 13:19.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Скрипт выполнил. Вирусы вроде бы не исчезли.
Комп перезагружается при попытке перейти по вашей ссылке http://virusinfo.info/showthread.php?t=12591(пытался через фаерфокс и интернет эксплорер).
Новые логи вложил.
Сейчас заново выполню ваш скрипт.
все на месте ... скрипт как и не выполнялся ... попробуйте его выполнить в SAFE MODE ...
хмм...
в прошлый после выполнения скриптов, я сначало решил проверить hijack this, из-за него как и раньше комп перезагружался. Потом я сделал логи.
Теперь я высылая вам логи, которые я сделал, до запуска hijack this в них уже вирусов вроде бы нет.
после высылания, проверю на работспособность hijack this.
выполните скрипт...
повторите логи..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('e:\documents and settings\Юсупов\local settings\application data\csrss.exe'); DeleteFile('e:\documents and settings\Юсупов\local settings\application data\services.exe'); DeleteFile('e:\documents and settings\Юсупов\local settings\application data\winlogon.exe'); DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\lsass.exe'); DeleteFile('E:\WINDOWS\eksplorasi.exe'); DeleteFile('E:\Documents and Settings\Юсупов\Главное меню\Программы\Автозагрузка\Empty.pif'); DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\smss.exe'); DeleteFile('E:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); DeleteFile('E:\WINDOWS\ShellNew\sempalong.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(13); ExecuteRepair(12); ExecuteRepair(16); ExecuteRepair(17); RebootWindows(true); end.
вот новые логи.
hijackthis запускать неохота а то после него все вирусы восстанваливаются.
спасибо
Email-Worm.Win32.Brontok.q - в половине файлов карантина по анализу ЛК.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
что посоветуете сделать?
То, что попало в карантин уже удалили.
Для Того что осталось:
Выполнить в Safe Mode:
Удалить задание в "Планировщике".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('E:\Documents and Settings\Юсупов\Шаблоны\Brengkolang.com'); BC_DeleteFile('E:\Documents and Settings\Юсупов\Шаблоны\Brengkolang.com'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Более ничего вредного не вижу. Есть подозрение, но не более, что Ваш Hijack заражен. Проверьте его на virustotal.com
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Антивирус Версия Обновление Результат
AhnLab-V3 2007.10.11.1 2007.10.11 -
AntiVir 7.6.0.20 2007.10.10 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.10 -
AVG 7.5.0.488 2007.10.10 -
BitDefender 7.2 2007.10.11 -
CAT-QuickHeal 9.00 2007.10.10 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.10 -
eSafe 7.0.15.0 2007.10.10 suspicious Trojan/Worm
eTrust-Vet 31.2.5202 2007.10.11 -
Ewido 4.0 2007.10.10 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.10 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 -
Kaspersky 7.0.0.125 2007.10.11 -
McAfee 5138 2007.10.10 -
Microsoft 1.2908 2007.10.11 -
NOD32v2 2585 2007.10.10 -
Norman 5.80.02 2007.10.10 -
Panda 9.0.0.4 2007.10.10 Suspicious file
Prevx1 V2 2007.10.11 -
Rising 19.44.31.00 2007.10.11 -
Дополнительная информация
File size: 401720 bytes
MD5: e8269245566be948f6a219135b434160
SHA1: 1ac255b76ef692ea6c09d4840dcd28c67c5d6bfe
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
ВОТ ЧТО НАПИСАЛ ПО ЭТОМУ ПОВОДУ ВИРУСТОТАЛ
Он нормальный. С моей машины итог точно такой же.
Эти подозрения из-за упаковщиков (UPX).
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 41
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Trojan.Win32.VB.aqt (DrWEB: Win32.HLLW.Autoruner.274)
- d:\\autorun.inf - Trojan.Win32.VB.aqt (DrWEB: Win32.HLLW.Autoruner.274)
- e:\\autorun.inf - Worm.Win32.VB.fi (DrWEB: Trojan.Recycle)
- e:\\brengkolang.com - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\documents and settings\\networkservice\\local settings\\application data\\smss.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\documents and settings\\networkservice\\главное меню\\программы\\автозагрузка\\empty.pif - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\documents and settings\\юсупов\\local settings\\application data\\csrss.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\documents and settings\\юсупов\\local settings\\application data\\lsass.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\documents and settings\\юсупов\\local settings\\application data\\services.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\documents and settings\\юсупов\\local settings\\application data\\winlogon.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\documents and settings\\юсупов\\local settings\\temp\\\'\'wga notification v1.5.708.0\'\' update\\data\\port_rockxp_v4.exe - not-a-virus
SWTool.Win32.PWDump.2 (DrWEB: Tool.Pwdump)
- e:\\documents and settings\\юсупов\\главное меню\\программы\\автозагрузка\\empty.pif - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\documents and settings\\юсупов\\шаблоны\\brengkolang.com - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
- e:\\windows\\eksplorasi.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)
Уважаемый(ая) Solid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
