Junior Member
Вес репутации
61
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Переименуй HiJackThis в 1.exe
Отключи "Восстановление системы".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
61
Сообщение от
PavelA
Переименуй HiJackThis в 1.exe
Отключи "Восстановление системы".
успел переимновать, он перезагрузился опять=(((
пытался из архива в другю папку, тоже самое.
кароче эта прога что то не пашет.
ВОССТАНОВЛЕНИЕ ТОЛЬКО ЧТО ОТКЛЮЧИЛ
1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
QuarantineFile('E:\Documents and Settings\Юсупов\Главное меню\Программы\Автозагрузка\Empty.pif','');
QuarantineFile('E:\WINDOWS\eksplorasi.exe','');
QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\csrss.exe','');
QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\lsass.exe','');
QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\services.exe','');
QuarantineFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\winlogon.exe','');
QuarantineFile('D:\Program Files\Yahoo!\Widgets\sqlite3.dll','');
QuarantineFile('D:\Program Files\Yahoo!\Widgets\js32.dll','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('e:\documents and settings\Юсупов\local settings\application data\csrss.exe');
DeleteFile('e:\documents and settings\Юсупов\local settings\application data\services.exe');
DeleteFile('e:\documents and settings\Юсупов\local settings\application data\winlogon.exe');
DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\lsass.exe');
DeleteFile('E:\WINDOWS\eksplorasi.exe');
DeleteFile('E:\Documents and Settings\Юсупов\Главное меню\Программы\Автозагрузка\Empty.pif');
DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\smss.exe');
DeleteFile('E:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
ExecuteRepair(13);
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13070
2.Вполне возможно нужно будет воспользоваться инструкцией: http://virusinfo.info/showpost.php?p=102984&postcount=1
3.Попытайтесь ещё раз по инструкции :http://virusinfo.info/showthread.php?t=12591
нужен лог hijack this- там как минимум один ключик подлежит удалению.
4.сделайте новые логи.
Последний раз редактировалось drongo; 10.10.2007 в 13:19 .
Junior Member
Вес репутации
61
Скрипт выполнил. Вирусы вроде бы не исчезли.
Комп перезагружается при попытке перейти по вашей ссылке http://virusinfo.info/showthread.php?t=12591(пытался через фаерфокс и интернет эксплорер).
Новые логи вложил.
Сейчас заново выполню ваш скрипт.
Вложения
все на месте ... скрипт как и не выполнялся ... попробуйте его выполнить в SAFE MODE ...
Junior Member
Вес репутации
61
хмм...
в прошлый после выполнения скриптов, я сначало решил проверить hijack this, из-за него как и раньше комп перезагружался. Потом я сделал логи.
Теперь я высылая вам логи, которые я сделал, до запуска hijack this в них уже вирусов вроде бы нет.
после высылания, проверю на работспособность hijack this.
Вложения
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('e:\documents and settings\Юсупов\local settings\application data\csrss.exe');
DeleteFile('e:\documents and settings\Юсупов\local settings\application data\services.exe');
DeleteFile('e:\documents and settings\Юсупов\local settings\application data\winlogon.exe');
DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\lsass.exe');
DeleteFile('E:\WINDOWS\eksplorasi.exe');
DeleteFile('E:\Documents and Settings\Юсупов\Главное меню\Программы\Автозагрузка\Empty.pif');
DeleteFile('E:\Documents and Settings\Юсупов\Local Settings\Application Data\smss.exe');
DeleteFile('E:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DeleteFile('E:\WINDOWS\ShellNew\sempalong.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(12);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
повторите логи..
Junior Member
Вес репутации
61
вот новые логи.
hijackthis запускать неохота а то после него все вирусы восстанваливаются.
спасибо
Вложения
Email-Worm.Win32.Brontok.q - в половине файлов карантина по анализу ЛК.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
61
То, что попало в карантин уже удалили.
Для Того что осталось:
Выполнить в Safe Mode:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\Documents and Settings\Юсупов\Шаблоны\Brengkolang.com');
BC_DeleteFile('E:\Documents and Settings\Юсупов\Шаблоны\Brengkolang.com');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Удалить задание в "Планировщике".
Более ничего вредного не вижу. Есть подозрение, но не более, что Ваш Hijack заражен. Проверьте его на virustotal.com
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
61
Антивирус Версия Обновление Результат
AhnLab-V3 2007.10.11.1 2007.10.11 -
AntiVir 7.6.0.20 2007.10.10 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.10 -
AVG 7.5.0.488 2007.10.10 -
BitDefender 7.2 2007.10.11 -
CAT-QuickHeal 9.00 2007.10.10 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.10 -
eSafe 7.0.15.0 2007.10.10 suspicious Trojan/Worm
eTrust-Vet 31.2.5202 2007.10.11 -
Ewido 4.0 2007.10.10 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.10 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 -
Kaspersky 7.0.0.125 2007.10.11 -
McAfee 5138 2007.10.10 -
Microsoft 1.2908 2007.10.11 -
NOD32v2 2585 2007.10.10 -
Norman 5.80.02 2007.10.10 -
Panda 9.0.0.4 2007.10.10 Suspicious file
Prevx1 V2 2007.10.11 -
Rising 19.44.31.00 2007.10.11 -
Дополнительная информация
File size: 401720 bytes
MD5: e8269245566be948f6a219135b434160
SHA1: 1ac255b76ef692ea6c09d4840dcd28c67c5d6bfe
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
ВОТ ЧТО НАПИСАЛ ПО ЭТОМУ ПОВОДУ ВИРУСТОТАЛ
Он нормальный. С моей машины итог точно такой же.
Эти подозрения из-за упаковщиков (UPX).
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 41 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Trojan.Win32.VB.aqt (DrWEB: Win32.HLLW.Autoruner.274) d:\\autorun.inf - Trojan.Win32.VB.aqt (DrWEB: Win32.HLLW.Autoruner.274) e:\\autorun.inf - Worm.Win32.VB.fi (DrWEB: Trojan.Recycle) e:\\brengkolang.com - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\documents and settings\\networkservice\\local settings\\application data\\smss.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\documents and settings\\networkservice\\главное меню\\программы\\автозагрузка\\empty.pif - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\documents and settings\\юсупов\\local settings\\application data\\csrss.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\documents and settings\\юсупов\\local settings\\application data\\lsass.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\documents and settings\\юсупов\\local settings\\application data\\services.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\documents and settings\\юсупов\\local settings\\application data\\winlogon.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\documents and settings\\юсупов\\local settings\\temp\\\'\'wga notification v1.5.708.0\'\' update\\data\\port_rockxp_v4.exe - not-a-virus SWTool.Win32.PWDump.2 (DrWEB: Tool.Pwdump) e:\\documents and settings\\юсупов\\главное меню\\программы\\автозагрузка\\empty.pif - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\documents and settings\\юсупов\\шаблоны\\brengkolang.com - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5) e:\\windows\\eksplorasi.exe - Email-Worm.Win32.Brontok.q (DrWEB: Win32.Virut.5)