-
Junior Member
- Вес репутации
- 0
Началось с криптопакера[Packed.Win32.PolyCrypt.b]
Здравствуйте Хелперы.
После посещения сайта по правам человека был подхвачен вирус (именно с него так как в нем найден был вирусный скрипт который выполнял заражение машин испробывал на двух) Началась как всекгда эпидеми При этом 6 Кашмарский для рабочих станция с лиц подпиской только мог перезагружаться при нахождении активного процесса с телом вируса. сканирование АВЗ с обеновленными базами тоже не дало положительных результатов как в обычном так и безопасном. Сканирование проводилось так же Доктором Веб в safe моде опять эе что то нашел но не все. Наконец сканирование малверем внушило надежду так как он удалил записи в реестре и некоторые файлы. После чего сканирование АВЗ для раздела помогите. так признаюсь что чуствую что то еще осталось вдрайвкрах или в где о еще.
Поэтому внизу логи от АВЗ и утилиты по процесамм и записям в реестре (просто не выговорю)
omkk.ru/virusinfo/hijackthis.log
omkk.ru/virusinfo/virusinfo_syscheck.zip
omkk.ru/virusinfo/virusinfo_syscure.zip
После наконечто таки успешного обновления малвериБайтс найдено много чего поэто думаю что лг будет не лишний
omkk.ru/virusinfo/mbam-log.txt
Надеюсь вы подскажите что еще можно кдалить конечно КРОМЕ Маздая она мне нужен
НАдеюсь на помощь
Последний раз редактировалось sunic; 28.10.2008 в 15:02.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Прикрепите логи к сообщению...
-
-
Junior Member
- Вес репутации
- 0
Так как на мою долю постоянно выпадает какието непонятные отказы в принятии фыорумом отчетов я загрузил их к себе и ссылку дал в первом посте
Последний раз редактировалось sunic; 28.10.2008 в 15:08.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WINIO');
QuarantineFile('c:\Temp\Rar$EX00.672\winio.sys','');
QuarantineFile('dwshd.sys','');
DeleteFile('C:\WINXP\system32\Drivers\dwshd.sys');
DeleteFile('c:\Temp\Rar$EX00.672\winio.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('WINIO');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 0
в первом посте отчеты от АВЗ обновлены по тем же адресам файлы от 29,10,08 10,хх часов
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINXP\system32\Drivers\uje4odky.sys','');
end.
Загрузите карантин...
-
-
Junior Member
- Вес репутации
- 0
Сообщение от
Гриша
А какрантин пуст файлы на карантин /описание/ отсутсвует
PS посик авз файла uje4odky.sys тоже не дал результатов
-
Junior Member
- Вес репутации
- 0
Извените что опять обращаюсь
Хотелось бы спросить что делать с карантином если он пустой ведь тогда не возмоожно его заархивировать и отправить в СООТВЕТСТВИИ С ПРАВЛАМи
И второй вопрос посмотрите логи АВЗ ссылки которого в первом посте это логи с домашнего компьютра. Опять непонятная ситуация прогрнал на практически максимуме в настройках АВЗ ничего не нашел и не исправлял. а после создания отчета нашел и обезвредил функции перевата ... дальше по тексу лога. Подскажите нуждается ли магина в дальнейшем лечением.
И соответсвенно возникает вопрос что представляет собой скрипт сбора информации для раздела помогите и лечения карантина что при полной проверки диска на практически мах настройках АВЗ ничего не нашел а скорее всего при выполнении второго скрипта что даже вылечил. В оргах так же выкладываю логи от программы HiJHACK то есть они торже обновлены.
И на последок замечено на двух машинах в некоторый момент в ворде замечно самопроизвоьное набор текста состоящего из н-ного слов test в основном в полторы строки. Эту гадость можно ли как то выловить и удавить а то кто занет что она еще может натворит При этом замеччалось один раз при открытии нового точне создании нового документа пустого при условии что порядка трех документов было открыто
Надеюсь на скорейшее выздоровление моей машины
Хотелось бы добавит что на первой боеющей машине после лечения удалось запустить модуль защиты мониторинга в Malwarebytes' Anti-Malware а на домашней второй пациент нет он ругается что вроде как не может что то создать сервис. И вчера HijHAck не хотел тоже нормально запускаться но после прогона Malwarebytes' Anti-Malware сегодня искал и даже почти не ругался правда удать не пробывал
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
DelBHO('{7840B76D-6608-49C7-9B9D-2C7A58CB726D}');
QuarantineFile('C:\WINDOWS\system32\esiis.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\snrpurrt.sys','');
DeleteService('snrpurrt');
DeleteFile('msansspc.dll');
DeleteFile('C:\WINDOWS\system32\esiis.dll');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('C:\WINDOWS\system32\drivers\snrpurrt.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('snrpurrt.sys');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 0
Сообщение от
Гриша
Пришлите карантин по правилам и повторите логи...
Повторные логи
omkk.ru/virusinfo/110808/virusinfo_syscheck.zip
omkk.ru/virusinfo/110808/virusinfo_syscure.zip
Карантин как вы и просили
omkk.ru/virusinfo/virus.zip
Если позволите вопрос
Что означает привеленная ниже запись из лога АВЗ И нормально ли ей появление при каждой проверки системы
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89E511F8 -> перехватчик не определен
То есть так и должно быть
И если есть возможность попросите Олега Зайцева Занести в список распознаных програм и действий с файлами программу Unlocker
Заранее спасибо надеюсь на скорейший ответ
-
Интересно зачем вам снифферы, брутфорсы?
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\inetsrv.exe','');
DeleteFile('C:\WINDOWS\system32\inetsrv.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Записи нормальные, это перехваты эмулятора дисков...
-
-
Junior Member
- Вес репутации
- 0
Если я скажу по долгу службы вы же не поверите
-
Мне в принципе все равно, хоть атомная бомба у вас на винте, но вы учтите, что многие такие поделки сами реально заражены и детектируется не для того чтобы ими не пользовались, а потому что они действительно инфицируют систему...
-
-
Junior Member
- Вес репутации
- 0
Сообщение от
Гриша
Пришлите карантин по правилам и повторите логи...
Повторные логи
omkk.ru/virusinfo/110808/virusinfo_syscheck.zip
omkk.ru/virusinfo/110808/virusinfo_syscure.zip
Карантин как вы и просили
omkk.ru/virusinfo/virus.zip
Логи и каранттие как Вы просили. вопрс появиля при выполнении скрипта Лечение и карантина АВЗ пишет что восстановленно н ное количество функций но после перезагрузки повторе скрипта лог повторяется Это как то можно исправить чтобы он один раз и навсегда исправил То есть не было вот этого
Восстановлено 47 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
-
-
-
Junior Member
- Вес репутации
- 0
Григорий извени Но каковы мои действия в отношении завершающего такого сообщения от АВЗ
Восстановлено 47 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Причем перезагружался не помогает
-
Я не понимаю вашего вопроса, есть перехват, AVZ его снимает, но после ребута он восстановится, это нормально...
-
-
Junior Member
- Вес репутации
- 0
поясняю АвзКак вы говорите находит перехват после ребута Должен Восстановить тоесть
1 Проверка системы АВз
2. В логах в конце вылезло что востановлены функции перехвата
3. Рубут системы
4. Проверка системы
5 В логах АВЗ та же фраза фунции перехвата восстановлены перезагрузитесь пожайлуста.
Как я понимаю (на своем примитивно эврестичеком уровне с элементами пааранои) такого не должно быть Другими словами Пункт 5 Долже Отсутвовать после ребута. Так функции востановлены простите Функции перехвата и соответсвено после ребута работают в прежнем режиме и не детектируются АВЗ и другими Антивирусниыми продуктами (Кстаи KAW6.0 как всегда молчить и ничего не говорит даже на максимуме)
Почему возникает этот вопрос До этого момента эта машина проверялась несколько раз и и таких сообщений не было софт не сильно поменялся с тех времен установлена пра программ для математики MAple Matematika и успешно удалены вот все изменения.
Вы извените если это уже начинается выглядеть как пароноика но анализ нескольких логов с разных систем берет свое
Заранее спасибо за внимание к данному вопросу
-
Вы можете понять что перехваты ставит ваш антивирус и другой софт?
-
-
Junior Member
- Вес репутации
- 0
Извените что эта запись вызвала такие подозрения просто очень часто (при условии что стоят одинаковые антивирусы как дома так и на работе) после проверки рабочей машины и перезагрузки при условии что эта запись была они исчезали. Повторюсь софт практически один и тот же что дома что наработе.
Доверяясь Вашему мнению что это вотанавливается антивирус оставим эти записи в покое. Спасибо что помогли вылечить машины