Показано с 1 по 13 из 13.

Проверьте логи пожалуйста (Wininet...) (заявка № 21672)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61

    Thumbs up Проверьте логи пожалуйста (Wininet...)

    Проверьте логи пожалуйста!
    Компьютер после лечения. Все ли я вылечил? Что делать с перехватчиками сист.функций?
    P.S. КриптоПро - нужная вещь.
    Последний раз редактировалось sparrow; 31.07.2009 в 12:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключите восстановление системы и Антивирус!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
    QuarantineFile('sрoоlsv.exe',''); 
    QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
    QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');   
    QuarantineFile(',DTMONX.EXE','');
    QuarantineFile('C:\WINDOWS\system32\baseolkt32.dll','');
    DeleteFile('C:\WINDOWS\system32\ntos.exe');
    DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
    DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21672

    Затем такой скрипт:

    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    Скачайте новую версию AVZ(4.30) и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Файл сохранён как 080418_000215_virus_48082b5743d98.zip
    Размер файла 190660
    MD5 499a19d21006a562f6abc8ad163da167

  5. #4
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Новые логи
    Последний раз редактировалось sparrow; 31.07.2009 в 12:06.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    sрoоlsv.exe - поищите через авз , все что найдется пришлите по правилам ...

  7. #6
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Не получилось.


    Ошибка карантина файла, попытка прямого чтения (sрoоlsv.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\sрoоlsv.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sрoоlsv.exe)
    Карантин с использованием прямого чтения - ошибка

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Карантин:

    ntos.exe-Trojan-Spy.Win32.Zbot.bcn

    baseolkt32.dll-Trojan.Win32.SubSys.ce

    sрoоlsv.exe поищите ручками в этих директориях,найдете заархивируйте с паролем "virus" и загрузите по ссылке вверху темы.

  9. #8
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Нашелся только в System32


    Файл сохранён как 080418_015455_virus_480845bfa5d05.zip
    Размер файла 46311
    MD5 0638a992a0b6c159d84c2f686a2637dc

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Подождем ответа аналитиков

    Добавлено через 3 часа 27 минут

    spoolsv.exe_, SPOOLSV.EX_

    Вредоносный код в файлах не обнаружен.
    Последний раз редактировалось Гриша; 18.04.2008 в 14:33. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    А сообщения о функциях Wininet
    {{Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
    Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]}}
    выделенные красным в протоколе АВЗ - это нормально ?

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Это нормально,жалобы есть?

  13. #12
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    61
    Жалоб нет.
    Всем большое спасибо!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\baseolkt32.dll - Trojan.Win32.SubSys.ce (DrWEB: Trojan.Okuks.based)
      2. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bcn (DrWEB: Trojan.Proxy.2842)


  • Уважаемый(ая) sparrow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проверьте пожалуйста логи.
      От 5990 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.02.2012, 15:15
    2. Проверьте пожалуйста логи
      От KOT_DOG в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.12.2011, 19:02
    3. Проверьте пожалуйста логи
      От NEO17 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.06.2011, 01:53
    4. проверьте пожалуйста логи
      От Gorich в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2010, 11:43
    5. Пожалуйста проверьте логи
      От Deyneko в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.05.2009, 14:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01135 seconds with 16 queries