Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Из кучи тараканов, осталось 2 неуязвимых (заявка № 48733)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28

    Question Из кучи тараканов, осталось 2 неуязвимых

    Доброго времени суток.
    После переустановки винды и установки антивируса вышел в сеть для обновления. Пока обновлялся, наловил 1462 клеща. NOD32 справился с большей частью из них, но остались и неуязвимые (например: wmsetup.dll, nvmini.sys). Эти паразиты восстанавливаются после перезапуска и возможно рождают ещё кучу других. Заметил на вашем форуме, что вы боролись с данной проблемой.
    Очень надеюсь на вашу помощь.
    Последний раз редактировалось nick_f1982; 26.06.2009 в 14:22.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('95289393-33EA-4F8D-B952-483415B9C955');
     QuarantineFile('C:\WINDOWS\system32\t44y9a553NQ.dll','');
     QuarantineFile('C:\WINDOWS\system32\skcfujQ5EDN.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntbackup.exe','');
     QuarantineFile('C:\WINDOWS\system32\ndxq9awMc.dll','');
     QuarantineFile('C:\WINDOWS\system32\hhnt2pBK.dll','');
     QuarantineFile('C:\WINDOWS\system32\eThZrkpVeaM3wcX.dll','');
     QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll','');
     QuarantineFile('C:\WINDOWS\system32\cRsAQd4hw.dll','');
     QuarantineFile('C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll','');
     QuarantineFile('C:\WINDOWS\system32\VnTU2WAqUcZA6.dll','');
     QuarantineFile('C:\WINDOWS\system32\Va7SpUWgCA5f.dll','');
     QuarantineFile('C:\WINDOWS\system32\RV2MbKrHA.dll','');
     QuarantineFile('C:\WINDOWS\system32\KnSBC7Rm.dll','');
     QuarantineFile('C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll','');
     QuarantineFile('C:\WINDOWS\system32\EN7hzSreCat8.dll','');
     QuarantineFile('C:\WINDOWS\system32\E4814792.dll','');
      QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll','');
     QuarantineFile('C:\WINDOWS\system32\A0C86020.dll','');
     QuarantineFile('C:\WINDOWS\system32\A1A6BC2E.dll','');
     QuarantineFile('C:\WINDOWS\system32\76B9BA7A.dll','');
     QuarantineFile('C:\WINDOWS\system32\704C3595.dll','');
     QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
     QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
     QuarantineFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon','');
     QuarantineFile('C:\WINDOWS\fonts\ynysgR5mC.fon','');
     QuarantineFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon','');
     QuarantineFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon','');
     QuarantineFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon','');
     QuarantineFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon','');
     QuarantineFile('C:\WINDOWS\fonts\bVmwwaC9wK.fon','');
     QuarantineFile('C:\WINDOWS\fonts\MqppW9KYn.fon','');
     QuarantineFile('C:\WINDOWS\fonts\MbsV2QQJe.fon','');
     QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon','');
     DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon');
     DeleteFile('C:\WINDOWS\fonts\MbsV2QQJe.fon');
     DeleteFile('C:\WINDOWS\fonts\MqppW9KYn.fon');
     DeleteFile('C:\WINDOWS\fonts\bVmwwaC9wK.fon');
     DeleteFile('C:\WINDOWS\system32\08223B03.dll');
     DeleteFile('C:\WINDOWS\system32\122B901E.dll');
     DeleteFile('C:\WINDOWS\system32\704C3595.dll');
     DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll');
     DeleteFile('C:\WINDOWS\system32\A1A6BC2E.dll');
     DeleteFile('C:\WINDOWS\system32\A0C86020.dll');
     DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll');
     DeleteFile('C:\WINDOWS\system32\CTFMON.EXE');
     DeleteFile('C:\WINDOWS\system32\E4814792.dll');
     DeleteFile('C:\WINDOWS\system32\EN7hzSreCat8.dll');
     DeleteFile('C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll');
     DeleteFile('C:\WINDOWS\system32\KnSBC7Rm.dll');
     DeleteFile('C:\WINDOWS\system32\RV2MbKrHA.dll');
     DeleteFile('C:\WINDOWS\system32\Va7SpUWgCA5f.dll');
     DeleteFile('C:\WINDOWS\system32\VnTU2WAqUcZA6.dll');
     DeleteFile('C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll');
     DeleteFile('C:\WINDOWS\system32\cRsAQd4hw.dll');
     DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll');
     DeleteFile('C:\WINDOWS\system32\eThZrkpVeaM3wcX.dll');
     DeleteFile('C:\WINDOWS\system32\hhnt2pBK.dll');
     DeleteFile('C:\WINDOWS\system32\ndxq9awMc.dll');
     DeleteFile('C:\WINDOWS\system32\ntbackup.exe');
     DeleteFile('C:\WINDOWS\system32\skcfujQ5EDN.dll');
     DeleteFile('C:\WINDOWS\system32\t44y9a553NQ.dll');
     DeleteFile('C:\Documents and Settings\fedorov_nikolay\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
    ExecuteRepair(9);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48733
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28

    Логи

    Карантин выслал согласно правилам (приложение 3).
    Последний раз редактировалось nick_f1982; 26.06.2009 в 14:22.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    профиксить:
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon,
    Посмотрите, плс, этот файл 'C:\WINDOWS\system32\CTFMON.EXE' жив, а то я его по ошибке зацепил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28
    Профиксил.

    А вот 'C:\WINDOWS\system32\CTFMON.EXE' покоится с миром.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Его можно и нужно восстановить из карантина. Это переключалка языка.

    Вот эти все *.fon с непонятными названиями, наверное, от зловреда. Надо будет их
    поудалять после получения ответа по карантину.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28
    Очень странно, но его нет в карантине. Весь карантин перерыл, но не нашёл.

    Добавлено через 4 минуты

    Может его можно загрузить отдельным файлом?
    Последний раз редактировалось nick_f1982; 26.06.2009 в 12:17. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Язык с русского на английский переключается? В правом углу на экране есть отображение языка?

    По карантину: там все файлы чистые. Сейчас скрипт напишу для зачистки fon-файлов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    C:\WINDOWS\system32\CTFMON.EXE восстановите из его копии C:\WINDOWS\system32\dllcache\CTFMON.EXE
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28
    Файл я восстановил.

    А как долго ждать анализы тараканов?

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В карантине все файлы чистые

    Добавлено через 5 минут

    для зачистки:
    Код:
    begin
    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon');
     DeleteFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon');
     DeleteFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon');
     DeleteFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon');
     DeleteFile('C:\WINDOWS\fonts\ynysgR5mC.fon');
     DeleteFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon');
     DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Потом повторить станд. скрипт №2 и прислать лог.
    Последний раз редактировалось PavelA; 26.06.2009 в 13:31. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28

    Логи

    Принимайте:
    Последний раз редактировалось nick_f1982; 26.06.2009 в 15:22.

  14. #13
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28
    Павел, а насколько долго длятся такого рода процедуры, до полного [100%] завершения?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Упустил одного живого.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\DOCUME~1\FEDORO~1\LOCALS~1\Temp\wmsetup.dll','');
     DeleteFile('C:\DOCUME~1\FEDORO~1\LOCALS~1\Temp\wmsetup.dll');
     BC_DeleteFile('C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon');
     BC_DeleteFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon');
     BC_DeleteFile('C:\WINDOWS\fonts\uXUsF2RrQy.fon');
     BC_DeleteFile('C:\WINDOWS\fonts\vgUGf6VF2E.fon');
     BC_DeleteFile('C:\WINDOWS\fonts\z9gNwvuVDpyQqHSu.fon');
     BC_DeleteFile('C:\WINDOWS\fonts\ynysgR5mC.fon');
     BC_DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=48733
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28

    Логи

    Карантин пуст.
    Последний раз редактировалось nick_f1982; 26.06.2009 в 19:31.

  17. #16
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28
    [wmsetup.dll], [msgmr.dll], [Framdee.ttf] определяются NOD32 на первых минутах сканирования. NOD32 говорит что они будут удалены после перезапуска, но безрезультатно.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    А а/вирус надо отключать во время работы AVZ.
    Установите AVZPM в AVZ, перезагрузитесь и сделайте новый комплект логов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28
    Прошу прощения за невнимательность.

    - отключил брандмауэр
    - выгрузил а\вирус
    - установил AVZPM
    - проверил Dr.Web - ом в безопасном режиме
    - выполнил ст. скрипт 1,2

    Новые логи:
    Последний раз редактировалось nick_f1982; 29.06.2009 в 12:03.

  20. #19
    Junior Member Репутация
    Регистрация
    25.06.2009
    Сообщений
    18
    Вес репутации
    28
    Доброго времени суток.

    Хотелось бы закончить начатое. Логи я выложил и после этого компьютер не трогал. Жду ваших указаний.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Более ничего плохого не вижу.
    За последний проход AVZ, правда, еще пару грохнул.

    Повторите еще разок станд. скрипт №2. и лог пришлите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) nick_f1982, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Что-то осталось?
      От Egner в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.10.2010, 15:31
    2. Осталось ли что? (С4)
      От Delion в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.05.2010, 12:40
    3. что-то осталось...
      От megadeath в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 02:00
    4. Что-то осталось
      От Oldmans в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.02.2009, 13:25
    5. Осталось ли что-то?
      От pvb-d в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.01.2009, 14:17

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00076 seconds with 20 queries