И еще раз Здравствуйте!
Со вторым компьютером все совсем запущено.....
Отчеты удалось сделать только в безопасном режиме.
И еще раз Здравствуйте!
Со вторым компьютером все совсем запущено.....
Отчеты удалось сделать только в безопасном режиме.
восстановление системы в безопасном режиме не отключается: "Ошибка восстановления....... Перезагрузите компьютер и повторите попытку""
а в нормальном режиме система выдает ряд ошибок и уходит в перезагрузку.
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\autorun.inf',''); QuarantineFile('halifax1.dll',''); QuarantineFile('msime80.exe',''); QuarantineFile('md4hsh.dll',''); QuarantineFile('crypt32rt.dll',''); QuarantineFile('C:\WINDOWS\taskmon.exe',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe',''); QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe',''); QuarantineFile('C:\WINDOWS\system32\bolenjx.exe',''); QuarantineFile('C:\WINDOWS\system32\bolenja.exe',''); QuarantineFile('C:\WINDOWS\system32\alt.exe.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe',''); QuarantineFile('C:\WINDOWS\system32\taskmon.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\pavdrv51.sys',''); QuarantineFile('C:\WINDOWS\system32\nvnatv.sys',''); QuarantineFile('D:\NTACCESS.sys',''); QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys',''); QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys',''); QuarantineFile('C:\WINDOWS\system32\lrito3d56-794e.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys',''); QuarantineFile('D:\INSTALL\GMSIPCI.SYS',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx05.sys',''); QuarantineFile('C:\WINDOWS\system32\wsock3.dll',''); QuarantineFile('C:\WINDOWS\system32\win_p5.dll',''); QuarantineFile('C:\WINDOWS\system32\md4hsh.dll',''); QuarantineFile('C:\WINDOWS\system32\crypt32rt.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); DeleteFile('C:\WINDOWS\system32\crypt32rt.dll'); DeleteFile('C:\WINDOWS\system32\md4hsh.dll'); DeleteFile('C:\WINDOWS\system32\win_p5.dll'); DeleteFile('C:\WINDOWS\system32\wsock3.dll'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\System32\drivers\win32.exe'); DeleteFile('C:\WINDOWS\system32\alt.exe.exe'); DeleteFile('C:\WINDOWS\system32\bolenja.exe'); DeleteFile('C:\WINDOWS\system32\bolenjx.exe'); DeleteFile('C:\WINDOWS\system32\kernelwind32.exe'); DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\taskmon.exe'); DeleteFile('crypt32rt.dll'); DeleteFile('md4hsh.dll'); DeleteFile('msime80.exe'); DeleteFile('halifax1.dll'); DeleteFile('C:\autorun.inf'); DelBHO('{4F45C552-9688-4af2-AA57-15089900E144}'); DelBHO('{28C703D0-B4A9-4b2f-9123-CE8294761861}'); ExecuteRepair(1); ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(7); ExecuteRepair(9); ExecuteRepair(14); ExecuteRepair(16); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
2.Выслать карантин согласно приложению 3 правил
Добавлено через 3 минуты
Проверку CureIt делали? (2 пункт привил)
Последний раз редактировалось zerocorporated; 11.01.2008 в 21:01. Причина: Добавлено
ПРОБЛЕМА!!!!
Система висит на "Запуск Windows....."
и в безопасном и в нормальном режиме
Добавлено через 31 секунду
...после выполнения скрипта
Добавлено через 4 минуты
о, чудо - в безопасном режиме система все-таки прогрузилась!!!!
Добавлено через 5 минут
cureit делал - в быстром режиме он почистил несколько виров и троев, а в полном режиме подвис.... (кстати. его пришлось переименовать в Cureit.pif)
сейчас еще раз просканирую....
Последний раз редактировалось Awdik; 11.01.2008 в 21:22. Причина: Добавлено
cureit.exe - это архив.
На здоровой машине скачиваете его, распаковываете и в распакованном виде записываете на диск. С диска запускаете _start.exe
CureIt прогнал.
машина очень долго грузится.
в нормальном режиме теперь работает без перезагрузки, но AVZ на скрипте леченя\карантина и сбора виснет почти сразу....
восстановление системы отключить не удается - функция заблокирована\перехвачена.
сейчас пробую выполнить скрипты в безопасном режиме...
Можно попробовать avz.exe переименовать в game.pif
1. первый скрипт прошел почти до конца, написал в конце "исследование системы..." и так и не закончился. пришлось снять задачу.
2. второй скрипт
в самом начале на проверке памяти виснет, обрабатывая system32\svchost.exe
ЧТО ДЕЛАТЬ?
Добавлено через 2 минуты
окно "Запуск Windows" и в нормальном режиме и в безопасном (перед прорисовкой значков выбора учетных записей) грузится\висит примерно 7 минут
Последний раз редактировалось Awdik; 12.01.2008 в 00:02. Причина: Добавлено
можете сделать логи авз хотя бы в безопасном режиме ?
это как раз в безопасном режиме я и пытался сделать.....
Скачайте эту программу:
http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
Дождитесь полной загрузки системы в нормалном режиме, запустите скачанную программу и нажмите кнопку Fix. По окончании ее работы будет перезагрузка. Запуск системы должен нормализоваться. Имейте ввиду, что программа сбрасывает настройки сетевых подключений, поэтому запишите их заранее и потом введите на место.
Надеюсь, после этого появится возможность нормально сделать логи.
I am not young enough to know everything...
Спасибо за помощь - я уже подумывал о сносе данных с диска...
вчера до 5-ти часов ночи (г. Пермь - у нас + 2 часа от Москвы) просидел с чистками и попытками создания отчетов = все заканчивалось подвисанием на "выполняется исследование системы" (и занимало уйму времени).
после winsockfix работа нормализовалась и отчеты уже сгенерил в нормальном режиме. ...
+
....а теперь svchost.exe забрасывает ошибками приложения: " инструкция по адресу .......память не может быть "written"
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O20 - AppInit_DLLs: kus109.dat O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing) O20 - Winlogon Notify: crypt32 - C:\WINDOWS\ O20 - Winlogon Notify: md4hsh - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('msfir80.exe',''); QuarantineFile('kus109.dat',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll',''); QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys',''); QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys',''); QuarantineFile('C:\WINDOWS\system32\xpdx.sys',''); QuarantineFile('C:\WINDOWS\system32\users32.dat',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL',''); DeleteFile('C:\WINDOWS\system32\users32.dat'); DeleteFile('C:\WINDOWS\system32\xpdx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Djo16.sys'); DeleteFile('C:\WINDOWS\system32\lrito6f2e-7533.sys'); DeleteFile('C:\WINDOWS\system32\lrito78aa-3a47.sys'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll'); DeleteFile('C:\Documents and Settings\LocalService\desktop.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\system32\kus109.dat'); DeleteFile('C:\WINDOWS\system32\msfir80.exe'); BC_ImportALL; BC_QrSvc('asc3550p'); BC_DeleteSvc('asc3550p'); BC_DeleteSvc('Djo16'); BC_DeleteSvc('lrito78aa-3a47'); BC_DeleteSvc('lrito6f2e-7533'); BC_DeleteSvc('xpdx'); ExecuteSysClean; ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
карантин сохранён как080112_055352_virus_4788aa5020812.zip
Trojan.Win32.Zapchast.dz C:\WINDOWS\system32\MSCORE.DLL
AdWare.Win32.Agent.zo C:\WINDOWS\system32\users32.dat
Trojan.Win32.Patched.bh C:\WINDOWS\system32\svchost.exe
Выполните:
Сделайте новый комплект логов и прикрепите cure.log из папки с AVZКод:var x : Integer; Begin x := CheckFile('%windir%\system32\dllcache\svchost.exe'); If x = 3 then begin AddToLog('>>>Файл опознан как безопасный, продолжаем'); RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak'); CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000); BC_DeleteFile('%windir%\System32\MSCORE.DLL'); BC_DeleteFile('%windir%\system32\svchost.bak'); BC_Activate; SaveLog(GetAVZDirectory + 'cure.log'); RebootWindows(true); end else AddToLog('>>>Файл не опознан как безопасный, стоп!'); SaveLog(GetAVZDirectory + 'cure.log'); end.
Последний раз редактировалось rubin; 12.01.2008 в 15:30. Причина: исправил
,...а вот и логи
....это выгружено до последнего скрипта.
Добавлено через 4 минуты
а скажите, пожалуйста, из-за чего вчера вечером система загибалась после первого скрипта? это связано со скриптом zerocorporated или так совпало?
Последний раз редактировалось Awdik; 12.01.2008 в 15:20. Причина: Добавлено
Тогда после скрипта из поста 17 логи не делайте, выполните скрипт в посте 17, затем этот скрипт:
И только потом логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('%WINDIR%\SYSTEM32\msfir80.exe'); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys'); BC_ImportDeletedList; BC_DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Iot85'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Добавлено через 1 минуту
Ничего, что могло бы это вызвать, в том скрипте нетэто связано со скриптом zerocorporated или так совпало?
Последний раз редактировалось rubin; 12.01.2008 в 15:22. Причина: Добавлено
Уважаемый(ая) Awdik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.