-
Junior Member
- Вес репутации
- 62
Уважаемые помогите пожалуйста вылечить bcp78.sys (Trojan.Pentax)
Уважаемые здравствуйте
на экране машины вываливается сообщение что заблокировано выполнение программы и sav10 выдает сообщение что нашел Trojan.Pentax в файле c:\windows\system\drivers\bcp78.sys (этот же bcp78.sys лежит и в c:\windows\)
(рекомендации с сайта дядькит Нортона не помогают так как указанных там в рекомендации веток реестра у меня нет)
а еще находит smtpdrv.sys
Последний раз редактировалось taishigo; 04.03.2008 в 18:02.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('Rnt36');
StopService('Bcp78');
DelBHO('E4B4FEAA-FC1B-488d-9AA4-EDD924EAA809');
QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bcp78.sys','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Rnt36.sys','');
QuarantineFile('C:\WINDOWS\Bcp78.sys','');
DeleteFile('C:\WINDOWS\Bcp78.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Rnt36.sys');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Bcp78.sys');
DeleteService('Rnt36');
DeleteService('Bcp78');
DeleteService('msupdate');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Junior Member
- Вес репутации
- 62
лекарство не помогло - диагноз прежний
Generic Host Process for W32 Service вызвал проблему и требует завершения
и свнова окошо SAV об обнаружении того же самого bcp78.sys
сейчас карантин пришлю
(пошел правила читать - а это в прошлый раз файл с вирусом выложил прямо в тему - заработал "благодарность" от всего прогрессивного человечества)
-
Где повторные логи? Firewall на компьютере есть? Если нет, включите Windows Firewall.
-
-
Junior Member
- Вес репутации
- 62
карантин ушел
Добавлено через 1 час 44 минуты
FireWall защищает всю сетку и в инет весь народ ходит через прокси (squid)
повторный запуск стандартного скрипта (№3) вызывает "самопроизвольную" перезаругку системы
попробую завтра с утра в безпосном режиме прогнать скрипт
Последний раз редактировалось taishigo; 15.01.2008 в 14:26.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 62
от еще странный эффект на машине происходит
в папке c:\windows\pchealth\ERRORREP\UserDump\ куча файлов
типа svchost.exe2008...hdmp - весь диск С забит.
(стандартные скрипты AVZ удалось выполнить только в безопасном режиме)
Последний раз редактировалось taishigo; 04.03.2008 в 18:02.
-
Выполните скрипт в AVZ
Код:
begin
StopService('FCI');
StopService('Rnt36');
StopService('Bcp78');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
DeleteFile('C:\WINDOWS\Bcp78.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Rnt36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bcp78.sys');
DeleteService('FCI');
DeleteService('Rnt36');
DeleteService('Bcp78');
SysCleanAddFile('drive01.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Попробуйте сделать логи в нормальном режиме. Очистите ПК от мусора. Подробнее здесь.
-
-
Junior Member
- Вес репутации
- 62
диагноз прежний - выскакивает окно с ошибкой Generic host...
но зато удалось прогнать avz в обычном режиме
вот логи
Последний раз редактировалось taishigo; 04.03.2008 в 18:02.
-
Выполните скрипт в AVZ
Код:
begin
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Rnt36.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_ImportDeletedList;
BC_Activate;
SysCleanAddFile('Pqr50.sys');
SysCleanAddFile('c:\windows\system32\vhosts.exe');
SysCleanAddFile('C:\WINDOWS\System32\Drivers\Rnt36.sys');
SysCleanAddFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи. Включите Windows Firewall.
Последний раз редактировалось Макcим; 16.01.2008 в 13:04.
-
-
Junior Member
- Вес репутации
- 62
a firewall зачем включать ?
(повторюсь вся сеть сидит за freebsd+ipfw+nat+squid)
-
Включите... Посмотрим что будет.
-
-
Junior Member
- Вес репутации
- 62
окошко с ошибкой generic host перестало выскаивать
но при перезагрузке вывалилось окошко "система восстановлена после серьезной ошибки", хотя функция восстановления откючена давно
и выполнить скрипты avz не удалось машина самопроизвольно перегрузилась
-
Попробуйте выполнить скрипт ещё раз, я внес в него некоторые правки.
-
-
Junior Member
- Вес репутации
- 62
выполил обновленный скрипт, фаервол включил
окошки не выскаивают
подождем денек о результатах отпишусь
Добавлено через 1 минуту
сканирование AVZ не смогу сейчас сделать - сижу удаленно
Последний раз редактировалось taishigo; 16.01.2008 в 14:02.
Причина: Добавлено
-
Как только сможете, делайте логи. Разберитесь также где утечка, кто-то машину атакует не смотря на все прокси...
-
-
Junior Member
- Вес репутации
- 62
не помогло
при перезагрузке вываливается окно "система восстановлена после серьезной ошибки"
запуск 3-го скрипта AVZ вызывает перезагруз машины
сделал сканирование в безопасном режиме
(и еще одна фигня у всех узеров при печати на сетевых принтерах hp2015dn если есть таблицы (например в xls) то в документе печатается только текст)
Последний раз редактировалось taishigo; 04.03.2008 в 18:01.
-
Выполните такой скрипт в AVZ:
Код:
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Pqr50\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Pqr50.sys');
BC_DeleteSvc('Pqr50');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Pqr50.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторите лог syscheck (п.10 правил)
и прикрепите файл boot_clr.log из папки с AVZ.
I am not young enough to know everything...
-
-
если выше сказанное проблему не решит ...
можно провести еще такую пртседуру ...
скачать ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\system32\drivers\Pqr50.sys - direct file content wiping - do operation - закрыть программу..
- перезагрузится ...
выполните скрипт ...
Код:
begin
BC_DeleteSvc('Pqr50');
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 62
Система не может загрузится
Добавлено через 41 секунду
после последнего лечения
Последний раз редактировалось taishigo; 17.01.2008 в 11:53.
Причина: Добавлено