-
слиьное заражение
На компе заблокирован деспечер задач, так же когода его принесли он не запускался в обычном режиме ..... АВЗ с новыми базами вылетает при выполнение скрипта, АВПтул тоже вылетает(ошибок не пишет просто закрываються окна)...
в безопасном режиме провел лечение куреититом (много чего поудолял но в обычный режим так и не впустил) ..... еще удолось в безопасном режиме выполнить стандартный скрипт 2(с его помощью удолось много чего найти и убить).... после этого комп запустился в нормальном режиме но увы кроме HJ логи не делает.....
прилагаю лог HJ и лок авз из безопасного режима
я понемаю что этого мало но увы больше ни чего нет
Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
удалось разблокировать диспечер задач если щас получиться зделаю логи авз из норм режима....
Добавлено через 45 секунд
логи не делаються авз переименованный в 555.com вырубаеться(
Последний раз редактировалось fotorama; 15.04.2008 в 11:52.
Причина: Добавлено
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\vutB51I8.exe','');
QuarantineFile('C:\WINDOWS\system32\svcnet.exe','');
QuarantineFile('Microsoft Internet Service.sys','');
QuarantineFile('C:\WINDOWS\system32\LIBBZ2.dll','');
DeleteFile('C:\WINDOWS\system32\svcnet.exe');
DeleteFile('C:\WINDOWS\system32\vutB51I8.exe');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21538
Удалите все задания в планировщике задач
Повторите логи
-
удалось зделать востонавление систем 1 пункт
после этого второй стондартный скрипт щас пытаюсь выполнить скрипт лечения
Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
сори писал ответ и не заметил скрипт
Добавлено через 58 секунд
Файл сохранён как 080415_030228_virus_480461146611d.zip
Размер файла 844582
MD5 9a2bd5ade90059b59c4acdb16afb9283
Добавлено через 4 минуты
сорри щас делаю новые логи и в логе лечения будут видны задачи в планеровщике........ я их вырубил чуть позже
Добавлено через 41 секунду
увы скрипт лечения сного не получился авз закрылось
Последний раз редактировалось fotorama; 15.04.2008 в 12:08.
Причина: Добавлено
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Карантин:
xuivcdqt.dll,awtsttr.dll,vtutu.dll- Packed.Win32.Monder.gen
LIBBZ2.dll-по версии ВТ чист
-
-
Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Еще пара сидит и довольно вредных:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
clearquarantine;
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\system32\poof','');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('xuivcdqt.dll');
DeleteFile('awtsttr.dll');
DeleteFile('vtutu.dll');
DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('kprof');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если будет вылетать скрипт, то надо будет закомментировать 2-ю строчку, или удалить ее.
Последний раз редактировалось PavelA; 15.04.2008 в 12:15.
Причина: Добавил еще несколько
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
если верить последнему логу awtsttr.dll еще жив(
Добавлено через 3 минуты
скрипт из 8 поста прошол нормально щас попытаюсь скрипт лечения выполнить
Добавлено через 8 минут
скрипт лечения опять вылететл только дойдя до проверки папки виндовс
Добавлено через 32 секунды
жду дольнейших рекомендаций
Последний раз редактировалось fotorama; 15.04.2008 в 12:26.
Причина: Добавлено
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
ВЫполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\awtsttr.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Удалите все задания в планировщике задач.
Повторите логи.
-
удалил .... или они опять ожили щас проверю
Добавлено через 42 секунды
да в планеровщике чисто скрипт выполнил
Последний раз редактировалось fotorama; 15.04.2008 в 12:33.
Причина: Добавлено
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
скрипт лечения сново вылетел
остальные логи прилогаю
Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
да еще при выполниние скрипта авз ссылается на модифицированный ключ проводника
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
тек.txt - зачем выложили, скрипт и так выше есть.
-
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
просто в этой тхт я перенашу скрипты на больные компы
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
ВЫполните в АВЗ
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Security Adviser\mssadv.exe','');
DeleteService('o1394bul');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\o1394bul.sys','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\o1394bul.sys');
DeleteFile('C:\Program Files\Microsoft Security Adviser\mssadv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
>> Модифицирован ключ запуска проводника
в АВЗ файл--Мастер поиска и устранения проблем попробуйте решить.
-
Сообщение от
wise-wistful
в АВЗ файл--Мастер поиска и устранения проблем попробуйте решить.
да знаю я про мастер устранения проблем тока после устронения он все тамже(
скрипт выполнил карантин выслал
Файл сохранён как080415_035936_virus_48046e78b4a3e.zip
Размер файла
18940
MD5
740ce1d08a3a0c8a690fb3d0e7385d2c
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Примени таблетку #8 из Восст системы в AVZ для проводника.
Добавлено через 2 минуты
Вот этого просто из установки/удаления деинсталлировать нельзя Microsoft Security Adviser?
Последний раз редактировалось PavelA; 15.04.2008 в 13:05.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-