Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Помогите! (пару троянов + Brontok) (заявка № 17388)

  1. #1
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33

    Thumbs up Помогите! (пару троянов + Brontok)

    amvo.exe, Brontok.
    Посмотрите пожалуйста, что осталось вредоносного.
    И вылечился ли Brontok? (в процессах вроде удалились Services, Lsass..., да и кучи подобий папок, тоже исчезли)
    Последний раз редактировалось Еретик; 01.02.2008 в 23:06.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    Вот логи))
    Это после второй очистки. После первой не сохранился почему-то файл syscure
    Вложения Вложения
    Последний раз редактировалось pig; 02.02.2008 в 01:13. Причина: Восстановил, чтобы логи вернулись :)

  4. #3
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Так а логи то где?

    Не понял шутки. Логи были потом Вы их удалили. Можно спросить причину, там зверья хватает.
    Последний раз редактировалось wise-wistful; 01.02.2008 в 23:19. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    щас будут самому смешно.

    Добавлено через 3 минуты

    hijackthis.log:
    Вы уже вложили этот файл в теме
    virusinfo_syscheck.zip:
    Вы уже вложили этот файл в теме
    virusinfo_syscure.zip:
    Вы уже вложили этот файл в теме

    А ведь просто хотел сделать по-человечески. Отредактировать и вставить в первое сообщение
    Последний раз редактировалось Еретик; 01.02.2008 в 23:25. Причина: Добавлено

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Будем надеяться, что Вы вылаживали те же логи

    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
     QuarantineFile('%systemroot%\inf\nlite.cmd','');
     QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
     QuarantineFile('C:\Documents and Settings\21\Главное меню\Программы\Автозагрузка\RavMonE.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\windows\system32\amvo.exe','');
     QuarantineFile('C:\windows\system32\wincab.sys','');
     QuarantineFile('C:\windows\system32\amvo0.dll','');
     DeleteFile('C:\windows\system32\amvo0.dll');
     DeleteFile('C:\windows\system32\wincab.sys');
     DeleteFile('C:\windows\system32\amvo.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\Documents and Settings\21\Главное меню\Программы\Автозагрузка\RavMonE.exe');
     DeleteFile('C:\WINDOWS\system32\itunesff.exe');
    BC_ImportAll;
    ClearHostsFile;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно п.3 правил.

    Профиксите

    O4 - HKCU\..\Run: [amva] C:\windows\system32\amvo.exe

  7. #6
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    Бугога
    не знаю где они сейчас вложены, но я их не вижу.

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Главное, что я их видел, но вообще то страно.

  9. #8
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    ну, спасибо щас попробую

    Добавлено через 34 минуты

    А объясни пжлст, какие файлы карантин нужно присылать?

    -Те что в AVZ\Quarantine появились после первой проверки

    - эти найти и прислать
    QuarantineFile('%systemroot%\inf\nlite.cmd','');
    QuarantineFile('C:\WINDOWS\system32\itunesff.exe', '');
    QuarantineFile('C:\Doc&Settings\21\Гменю\Прогр\Авт озагр\RavMonE.exe','');
    QuarantineFile('C:\autorun.inf','');
    QuarantineFile('C:\windows\system32\amvo.exe','');
    QuarantineFile('C:\windows\system32\wincab.sys','' );
    QuarantineFile('C:\windows\system32\amvo0.dll','') ;
    Последний раз редактировалось Еретик; 02.02.2008 в 00:07. Причина: Добавлено

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Загружайте все которые там есть, я некоторые специально не карантинил, так как АВЗ сама добавила.

    Добавлено через 20 минут

    Сделайте новые логи и выложите. Посмотрим, что там.
    Последний раз редактировалось wise-wistful; 02.02.2008 в 00:30. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    А можно как нибудь выполнять те скрипты только на отдельных частях диска(windows, document&settings) ?
    Просто, если их банально проверять не создаётся логов. А делать полную проверку мне - 42 минуты.

  12. #11
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Не понял о каких тех скриптах идёт речь?

  13. #12
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    вот. Этого хватит?
    Вложения Вложения

  14. #13
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    C:\WINDOWS\system32\msmlqc.com, C:\WINDOWS\system32\msveds.com, C:\WINDOWS\msagent\mstgxt.com, C:\WINDOWS\msagent\msbwlk.com - Backdoor.Win32.Beastdoor.l
    C:\WINDOWS\system32\necsort.sys - Rootkit.Win32.Agent.sh
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\necsort.sys');
     DeleteFile('C:\WINDOWS\msagent\msbwlk.com');
     DeleteFile(':\WINDOWS\msagent\mstgxt.com');
     DeleteFile('C:\WINDOWS\system32\msveds.com');
     DeleteFile('C:\WINDOWS\system32\msmlqc.com');
    DeleteFile('C:\windows\system32\ntos.exe');
    BC_ImportAll;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Хоть и долго делать логи, но прийдётся потерпеть. Повторите все логи заново. Поймите, нам нужно видеть все логи перед собой, что бы понять чем болен компьютер и как его лечить.

    Спасибо за понимание.
    Последний раз редактировалось wise-wistful; 02.02.2008 в 01:35.

  15. #14
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    Вот эти - я не знаю зачем, какие то подозрительные)
    C:\windows\system32\ntos.exe
    C:\windows\system32\Drivers\sptd.sys

    + вот это очень интересно, что значит.

    Код:
    Функция NtCreateKey (29) перехвачена (8056F063->F759F0D0), перехватчик C:\windows\system32\Drivers\sptd.sys
    Функция NtEnumerateKey (47) перехвачена (8056F76A->F75A4FB2), перехватчик C:\windows\system32\Drivers\sptd.sys
    Функция NtEnumerateValueKey (49) перехвачена (805801FE->F75A5340), перехватчик C:\windows\system32\Drivers\sptd.sys
    Функция NtOpenKey (77) перехвачена (805684D5->F759F0B0), перехватчик C:\windows\system32\Drivers\sptd.sys
    Функция NtQueryKey (A0) перехвачена (8056F473->F75A5418), перехватчик C:\windows\system32\Drivers\sptd.sys
    Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F75A5298), перехватчик C:\windows\system32\Drivers\sptd.sys
    Функция NtSetValueKey (F7) перехвачена (80575527->F75A54AA), перехватчик C:\windows\system32\Drivers\sptd.sys
    Последний раз редактировалось Макcим; 02.02.2008 в 18:14.

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Я заметил client.alfabank меняйте пароли...
    >>> C:\windows\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker
    Добавлено через 56 секунд

    C:\windows\system32\Drivers\sptd.sys - это диамон
    Последний раз редактировалось akoK; 02.02.2008 в 01:47. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    В данном случае - Алкоголь. Что, в общем, без разницы, один чёрт.

  18. #17
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    Выполнил скрипт.
    Вот логи.
    Вложения Вложения

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Выполнить скрипт
    Что это за задание в планировщике?
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\21\Шаблоны\Brengkolang.com','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    AVZ - файл - мастер поиска и устранения проблем (устраняем проблемы)
    Microsoft Most Valuable Professional in Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    21
    Вес репутации
    33
    фиг его знает, что это такое, но этот файл скрытый, и мне он точно не нужен.

    Кстати ещё вопрос - как мне вернуть всё назад, то что сделал Brontok (расширения файлов не показывает)

  21. #20
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Если C:\Documents and Settings\21\Шаблоны\Brengkolang.com попал в карантин то загрузите по правилам

    Добавлено через 1 минуту

    Кстати нужен полный комплект всех логов, а то мы так не поймём как проходит лечение.
    Последний раз редактировалось wise-wistful; 02.02.2008 в 13:25. Причина: Добавлено

  • Уважаемый(ая) Еретик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 0
      Последнее сообщение: 17.04.2010, 09:55
    2. Ответов: 5
      Последнее сообщение: 20.01.2010, 17:15
    3. Помогите избавится от Brontok.A.
      От Ди_Ма в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.06.2009, 15:21
    4. Win32:Brontok [Wrm] помогите удалить
      От Aufaufa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.01.2008, 18:31
    5. помогите удалить вирус Brontok.a
      От M*NOK в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.10.2006, 20:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00696 seconds with 22 queries