И базы не могут обновиться. И avz не запускается, пришлось обманывать файлом pingpong.pif. Наверное, что-то плохое залезло. Посмотрите, пожалуйста.
Спасибо.
И базы не могут обновиться. И avz не запускается, пришлось обманывать файлом pingpong.pif. Наверное, что-то плохое залезло. Посмотрите, пожалуйста.
Спасибо.
Последний раз редактировалось msnaumov; 09.09.2009 в 20:46.
выполните скрипт
пришлите карантин согласно приложения 2 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Schedule'); QuarantineFile('C:\WINDOWS\system32\timgmon.dll',''); QuarantineFile('C:\WINDOWS\system32\timghook.dll',''); QuarantineFile('C:\WINDOWS\system32\sbrige.dll',''); QuarantineFile('C:\WINDOWS\system32\cryptlnk.dll',''); QuarantineFile('C:\WINDOWS\system32\comnsazt.exe',''); QuarantineFile('C:\WINDOWS\system32\capljrmx.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\svchost.exe',''); QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe',''); TerminateProcessByName('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe'); QuarantineFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe',''); TerminateProcessByName('c:\documents and settings\localservice.nt authority\svchost.exe'); QuarantineFile('c:\documents and settings\localservice.nt authority\svchost.exe',''); TerminateProcessByName('c:\documents and settings\Администратор\svchost.exe'); TerminateProcessByName('c:\windows\system32\drivers\services.exe'); TerminateProcessByName('c:\windows\system32\comnsazt.exe'); QuarantineFile('c:\windows\system32\comnsazt.exe',''); QuarantineFile('c:\windows\system32\capljrmx.exe',''); DeleteFile('c:\windows\system32\capljrmx.exe'); DeleteFile('c:\windows\system32\comnsazt.exe'); DeleteFile('c:\windows\system32\drivers\services.exe'); DeleteFile('c:\documents and settings\Администратор\svchost.exe'); DeleteFile('c:\documents and settings\localservice.nt authority\svchost.exe'); DeleteFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe'); DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe'); DeleteFile('C:\Documents and Settings\Администратор\svchost.exe'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe'); DeleteFile('C:\WINDOWS\system32\capljrmx.exe'); DeleteFile('C:\WINDOWS\system32\comnsazt.exe'); DeleteFile('C:\WINDOWS\system32\cryptlnk.dll'); DeleteFile('C:\WINDOWS\system32\csdlocalmon.dll'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\sbrige.dll'); DeleteFile('C:\WINDOWS\system32\timghook.dll'); DeleteFile('C:\WINDOWS\system32\timgmon.dll'); DeleteFile('sbrige.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Карантин отправил.
Новые логи после выполнения скрипта. Поглядите, пожалуйста.
Последний раз редактировалось msnaumov; 09.09.2009 в 20:45.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [bcswinsc] comnsazt.exe O4 - HKCU\..\Run: [bcswinsc] comnsazt.exe O20 - Winlogon Notify: cryptlnk - cryptlnk.dll (file missing) O20 - Winlogon Notify: sbrige - C:\WINDOWS\
Компьютер перезагрузится.Код:begin ExecuteRepair(9); ExecuteRepair(13); RebootWindows(true); end.
Попробуйте стандартную AVZ и обновление баз.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Чего-то не выходит каменный цветок. Стандартная avz не хочет исполняться, вылетают окошки одно за другим access violation at address не помню уж какой in module "avz.exe". Что бы это значило? Так что новые базы не удалось загрузить.
А pingpong.pif работает.
Последний раз редактировалось msnaumov; 09.09.2009 в 20:45.
- Выполните скрипт
После перезагрузки:Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sbunit.sys',''); QuarantineFile('C:\WINDOWS\system32\slave.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
Отправил...
- Выполните скрипт
После перезагрузки сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sbunit.sys',''); DeleteFile('C:\WINDOWS\system32\slave.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пока вы не прислали нового рецепта, догадался скачать CureIt и запустить. Нашлось пара вирусов Trojan.Alupko.14, Trojan.Proxy.origin. Тогда стал запускаться штатный DrWeb и нормально работать со своими базами. Однако SpIDer Mail дает ошибку инициализации и не работает. Сидит в трее и пишет, что disabled.
Штатный же avz после перезагрузки сначала не запускается, но после однократного запуска сканера DrWeb - просто включить и выключить после подготовки к сканированию - запускается. При следующей перезагрузки опять сразу не хочет.
После выполнения последнего скрипта это поведение сохранилось.
Вот логи штатного avz.
нет ли там чего подозрительного?
Последний раз редактировалось msnaumov; 09.09.2009 в 20:45.
авз там еще кое-кого прибил .... как ведет себя система ?
Ну да, авз еще вынес сидевшего в корне с:\ гада. А поведение системы именно как описано выше: spider mail дает при входе ошибку инициализации и не работает, avz согласен исполняться толко после запуска drweb экспресс скан, который ничего при этом не находит.
А так все чинно, инет пашет, офисные приложения тоже. Проц ничем лишним не занят, память тоже.
Protector Plus это что у вас за зверь ?
А это остатки regrun reanimator. Какой-то там partizan, который должен присматривать за rootkitами. Я его как бы удалил, когда прогу убрал, но он что-то не удалился, так и сидит месяца 2 уже.
выполните скрипт ....
ипопробуйте деисталировать алкогольКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('PPEMSCAN'); DeleteService('PPDrv'); DeleteService('Partizan'); DeleteFile('C:\WINDOWS\system32\drivers\Partizan.sys'); DeleteFile('C:\Protector Plus\PPDrv.sys'); DeleteFile('C:\Protector Plus\PPEMSCAN.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Wow! Это был гениальный ход - снести левый алкоголь! Просто удаление partizan & protector вроде как ничего не изменило, зато после выноса алкоголя spidermail немедленно активизировался и прекратилась дурь с авз.
Осталось только непонятное сообщение после загрузки об ошибке инициализации, но уже непонятно, чего именно.
В общем- трезвость - норма жизни!
Огромное спасибо!
Вдруг после перезагрузки браузеры стали сами закрываться - что IE, что Mozila. Перезагрузился, проверил дрвебом - чисто. Теперь перестали сразу закрываться, начали через какое-то время зависать.
Словом, просьба большая еще посмотреть новые логи - нет ли чего плохого?
Спасибо!
Последний раз редактировалось msnaumov; 09.09.2009 в 20:45.
Чисто...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice.nt authority\\svchost.exe - Trojan.Win32.Nosok.bp (DrWEB: Trojan.Alupko.14)
- c:\\documents and settings\\администратор\\svchost.exe - Trojan.Win32.Nosok.bp (DrWEB: Trojan.Alupko.14)
- c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\userinit.exe - Trojan.Win32.Nosok.bp (DrWEB: Trojan.Alupko.14)
- c:\\windows\\system32\\capljrmx.exe - Trojan.Win32.Qhost.kma (DrWEB: Trojan.DownLoad.3249)
- c:\\windows\\system32\\comnsazt.exe - Backdoor.Win32.SdBot.hhr (DrWEB: BackDoor.IRC.Sdbot.1337)
- c:\\windows\\system32\\cryptlnk.dll - Trojan-Spy.Win32.Goldun.azb (DrWEB: Trojan.PWS.GoldSpy.2261)
- c:\\windows\\system32\\sbrige.dll - Trojan-Spy.Win32.Goldun.avc (DrWEB: Trojan.PWS.GoldSpy.2391)
- c:\\windows\\system32\\sbunit.sys - Trojan-Spy.Win32.Goldun.azg (DrWEB: Trojan.NtRootKit.151
Уважаемый(ая) msnaumov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.