-
Junior Member
- Вес репутации
- 59
39 окон iexplore... ребят - посмторите логи плиз!
Сегодня "поимел" проблему сидя в инете - неожиданно открылись и стали плодится окна ИЕ - хорошо еще что сработало контекстное меню "закрыть группу". ИЕ я - не пользуюсь - сижу под ФирФоксом 2.0. + последний апдейт (014). Однако же - логи АВЗ-та делаться в норм.-режиме отказались - ошибка виоолет аккес - после нажатия ОК или Отмена (хотел скрин сделать - не дает система - улетает в перегруз) - вылет в Блю-Скрин с крякозабрами.Такая же картина при попытке тормознуть НОД (штатными стедствами - типа - стоп из фейса нода).. Итого - лог хиджека - сделал в норм режиме - оба авз-та - в сейфе. Пишу из под w3k- в нем - полет нормальный (имею в виду сбор логов АВЗ в норм режиме)- отсюда вывод (не 100% конечно) что дело таки не в "железе" а в софте. Поэтому прошу Вашего(ей) совета/помощи...
Последний раз редактировалось Alex1671; 11.04.2009 в 00:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
QuarantineFile('C:\Program Files\Personal Passworder\pp.exe','');
QuarantineFile('C:\TOOLS\DTemp\DTemp.exe','');
QuarantineFile('D:\WINXP\felix.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 59
Продолжаю писать из под w3k...
Запрошенные Вами действия - я безусловно сделаю и карантин пришлю.
Однако все файлы указанные Вами в скрипте карантина мне знакомы:
1. pp.exe - программа-хранитель паролей стоит уже лет 5 на компе.
2. DTemp.exe - достаточно старая и малоизвестная утилита мониторинга температуры винтов (кажет темпу в трее)
3. felix.exe - АВТОРИЗАТОР входа в инет сети birulevo.net (одна из 2ух сетей за которые я плачу). в настоящий момент пишу из под Корбины.
4.Ухожу в перегруз на WINХР - дабы сделать запрошенный Вами карантин.
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINXP\system32\DRIVERS\tcpip.sys','');
QuarantineFile('TCCrystalCpuInfo.sys','');
QuarantineFile('D:\WINXP\system32\IRIS5.SYS','');
QuarantineFile('D:\WINXP\system32\drivers\fspio.sys','');
BC_ImportQuarantineList;
BC_QrSvc('TCCrystalCpuInfo');
BC_Activate;
DelBHO('{09FE188B-6E85-479e-9411-51FB2220DF80}');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21782 ).
Вот это Вам знакомо?
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=148.233.159.24:80
Если нет, то пофиксите эту строчку в HijackThis.
Если не Вы добавляли записи в файл hosts и они Вам не нужны, то выполните такой скрипт в AVZ:
Код:
begin
ClearHostsFile;
end.
-
-
Junior Member
- Вес репутации
- 59
Скрипт сбора карантина указанный V_Bond
я сделал, карантин согласно п.п 3 приложения - выслал
результат (из страницы загрузки):
Файл сохранён как080419_173443_virus_480a738354c92.zipРазмер файла932279MD570602a4b30c9e25982dea00084823520
Хелперу
kps
1.Скрипт запрошенный Вами - я сделаю и отошлю требуемые данные в ближайшие время - если позволит ХР.
2. "Вот это Вам знакомо?" --- НЕТ - исправлю в жаке...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=148.233.159.24:80
3. Если не Вы добавляли записи в файл hosts...
И я добалял и Спайбот (наверное) и денвер - регулярно добавляет -удаляет...
4. Ушел делать Ваш скрипт-слать карантин.
Добавлено через 10 минут
Скрипт - не прошел - вылет в блю-скрин с ошибкой в крякозабрах как и при сборе информации... Карантин - весит 0 кб - смысла слать пустой архив наверное нету...
Пишу опять из под сервера 3к....
Добавлено через 3 минуты
Причем ошибка Акесс-виоладжен - появляется ПОСЛЕ нажатия на кнопку Ок фейса АВЗ - Данные успешно собраны или типа того - после нажатия Ок - вылазит асскес вилоаджен - и помогает ТОЛКО резет - на другие действия комп не реагирует (хотя и не висит "вмертвяк" - на мыш - реагирует...)
Последний раз редактировалось Alex1671; 20.04.2008 в 18:30.
Причина: Добавлено
-
Скрипт - не прошел - вылет в блю-скрин с ошибкой в крякозабрах как и при сборе информации...
Перез выполнением скриптов необходимо отключать антивирус и фаерволл.
Карантин - весит 0 кб - смысла слать пустой архив наверное нету...
Конечно нету, но тогда что вам ответить, если нет возможности посмотреть подозрительные файлы? Ручками заархивировать не пробовали?
Тфу. Подразделение АВП - саппорта... Отдыхайте дальше.
Здесь не подразделение саппорта кого бы то ни было.
А то что люди, ответившие в вашей теме, в 5 утра отдыхают - почему вас это удивляет?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Добрый вечер уважаемые!
Во первых - позвольте принести Вам свои искренние извинения за вчерашние сообщения - я просто "озверел и одурел" сидя за компом постоянно падающим в "синьку". Я прекрасно понимаю что отдых нужен всем - так что примите извинения.
Теперь по делу:
Сообщение от
Bratez
Перез выполнением скриптов необходимо отключать антивирус и фаерволл.
Фаер проглядел отключить - каюсь. Что же касается НОДА то, Вы видимо просмотрели мое сообщение выше - вот цитата: "Такая же картина при попытке тормознуть НОД (штатными стедствами - типа - стоп из фейса нода).. " Так что сделать карантин из под норм. режима - не представляется возможным. Я сделал его в сейф моде, и сейчас отошлю.
p.s. файлик tcpip.sys - был мною пропатчен в свое время на увеличение максимального количества коннектов - я думаю Вы понимаете о чем идет речь.
p.p.s. Надеюсь что мои извинения Вами приняты.
Добавлено через 1 минуту
Карантин - закачал...
Файл сохранён как 080420_094734_virus_480b578685a54.zip
Размер файла 219260
MD5 dd33473493982381193cbbd7bd008d6c
Последний раз редактировалось Alex1671; 20.04.2008 в 18:48.
Причина: Добавлено
-
D:\WINXP\system32\IRIS5.SYS -чистый
D:\WINXP\system32\drivers\fspio.sys - чистый
D:\WINXP\system32\DRIVERS\tcpip.sys - чистый
C:\TOOLS\DTemp\DTemp.exe -чистый
C:\Program Files\Personal Passworder\pp.ex - чистый
D:\WINXP\felix.exe BehavesLike:Trojan.FirewallBypass
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\WINXP\felix.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-