Через мой кабинет пробовали удалить Мой кабинет--Разное--вложения? Если всё равно не получится, давайте логи в один архив и на файлообменник, а нам тут ссылочку.
Через мой кабинет пробовали удалить Мой кабинет--Разное--вложения? Если всё равно не получится, давайте логи в один архив и на файлообменник, а нам тут ссылочку.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо. Про кабинет я совсем забыла.
Последний раз редактировалось Олья; 13.04.2008 в 23:45.
Outpost - деинсталируйте ...
выполните скрипт из поста 9 ...
Outpost - деинсталлировала... Скрипт из поста 9 выполнила... Логи и карантин повторила...
Последний раз редактировалось Олья; 16.04.2008 в 23:03.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\basepnvsj32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys',''); QuarantineFile('c:\program files\internet explorer\iexplore.exe',''); DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Затем в АВЗ
Повторите логи.Код:function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
Добавлено через 2 минуты
Посмотрите просмотрщиком Тоталом или подобным C:\Program Files\Internet Explorer\IEXPLORE.EXE и C:\Program Files\Internet Explorer\iexplore.exe - действительно там два разных файла или один.
Последний раз редактировалось wise-wistful; 09.04.2008 в 22:57. Причина: Добавлено
C:\Program Files\Internet Explorer\IEXPLORE.EXE - один. Но есть еще какой-то iedw.exe (IE Crash Detection)...
Последний раз редактировалось Олья; 16.04.2008 в 23:03.
скачайте GetSystemInfo
Запустите файл GetSystemInfo.exe, укажите с помощью обзора папку для сохранения протокола в текстовом формате. Все прочие действия программа выполнит самостоятельно.
Обязательно упакуйте полученный файл протокола в архив ZIP. Выложите лог.
Spy Sweeper нужно деинсталировать ....
выполните скрипт ...
повторите логи начиная с пункта 10 правил...Код:begin BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('ip6fw'); BC_Activate; RebootWindows(true); end.
Spy Sweeper деисталлировала. Я вам доверяю, но скажите, чем мне теперь прикрыться в интернете?
И вот еще что заметила: когда идет сбор информации в АВЗ, на втором пункте он зависает, то есть снова загружается странный svchost (ЦП 100%), и работу продолжает только при отключении этого процесса.
Последний раз редактировалось Олья; 16.04.2008 в 23:05.
в айсворд выбирите kernel mode сохраните и приложите к сообщению ...
Вы это имели в виду?
лог нужно сохранить .. запаковать ... и прикрепить к сообщению ....
V_Bond, я разве не так сделала? Если где ошиблась - подскажите, пожалуйста...
все правильно ... с первого раза почему -то архив не распаковался ...
C:\WINDOWS\System32\drivers\runtime.sys - видит айсворд ....
Внизу слева выберите меню File ...
найдите его там выберите force delete (правая кнопка ) затем скрипт авз из поста 29 ...
Айсворд не видит файл C:\WINDOWS\System32\drivers\runtime.sys! А в kernel mode путь указывается не по-человечески, а таким вот образом: \??\C:\WINDOWS\System32\drivers\runtime.sys...
\??\ так айсворд показывает все фалы которые ему не знакомы ...
Ну и как теперь поймать этот неуловимый runtime.sys? Его, по-моему, только АВЗ один и видит...
Кстати, айсворд, например, в kernel mode видит \??\С:\WINDOWS\TEMP\mc21.tmp, а на самом деле в файлах его нет, и в айсворде тоже не видно. Может, они в процессе как-то переименовываются? Или просто прячутся хорошо?
Последний раз редактировалось Олья; 11.04.2008 в 23:06.
Ольга!
Если это не секрет - открываете ли Вы в браузере какие-либо сайты перед тем, как выполнять скрипт или получать лог? Если да, то какие?
anti-malware.ru
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Уважаемый(ая) Олья, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
