На компе стоит аська с которой систематически летит спам. Так же была замечена отправка спама с одноклассников. Посмотрите пожалуйста, может засел какой зловред.
На компе стоит аська с которой систематически летит спам. Так же была замечена отправка спама с одноклассников. Посмотрите пожалуйста, может засел какой зловред.
Последний раз редактировалось 3BEPEK; 07.03.2010 в 12:24.
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:R3 - URLSearchHook: (no name) - - (no file) O9 - Extra button: (no name) - DctMapping - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winej73.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys'); DeleteFile('C:\WINDOWS\winlogon.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon'); BC_ImportDeletedList; BC_DeleteSvc('Winej73'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Выполните это http://virusinfo.info/showthread.php?t=3519
Повторите логи по правилам.
Меняйте пароли на аськи, контакты, однокласники...
скрипт не выполняется, выдаёт странность (см. скрин) странность по моему мнению заключается в том что во время ошибки в диспетчере задач появляется второй AVZ в режиме "не отвечает". F:\ это сидюк.
Последний раз редактировалось 3BEPEK; 07.03.2010 в 12:24.
в данный момент качаю полиморфный AVZ
Добавлено через 13 минут
полиморф так же отказался работать ссылаясь на отсутствующий диск в приводе.
Последний раз редактировалось 3BEPEK; 25.12.2009 в 13:48. Причина: Добавлено
Попробуйте так
Код:begin QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winej73.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys'); DeleteFile('C:\WINDOWS\winlogon.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winlogon'); BC_ImportDeletedList; BC_DeleteSvc('Winej73'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
пишет: ошибка прямого чтения C:\WINDOWS\winlogon.exe. При потыке добавить в карантин - ошибка. Прошу принять во внимание что работоспособность оси на данном компьютере критически важна.
Добавлено через 1 минуту
и так же выдаёт ошибку В устройстве нет диска... (см. скрин)
Добавлено через 2 минуты
А что если попытатся задействовать Бут Клинер и на попытку карантина, ведь судя по времени возникновения ошибки чтения диска, авз успевает выполнить часть скрипта... ИМХО
Добавлено через 6 минут
Теперь при попытке запустить авз, а также полиморфный (пытался несколько раз переименовать в случайный набор символов) авз не запускается. Ошибка: Отказано в доступе к указанному устройству, папке или файлу. Возможно, у вас недостаточно прав доступа к этому обьекту.
Буквально 10 минут назад всё было нормально
Добавлено через 9 минут
regedit так же не запускается
Добавлено через 39 минут
ап
Добавлено через 4 минуты
При сканировании системы антивирусом НОД32 с сегодняобновлёнными базами было обнаружено:
Добавлено через 1 минутуКод:C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QEZ - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QF0 - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован C:\Documents and Settings\leader\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02QF2 - JS/TrojanDownloader.Agent.NRL троянская программа - очищен удалением - изолирован C:\Documents and Settings\leader\Рабочий стол\все\Новая папка\Новая папка (4)\e_mail\opz_install\opz\FOP\ansi2oem.exe - вероятно модифицированный Win32/Agent троянская программа - очищен удалением - изолирован C:\opz\opzfull-1.15-setup.exe » NSIS » ansi2oem.exe - вероятно модифицированный Win32/Agent троянская программа C:\opz\opzupd-1[1].15-setup.exe » NSIS » ansi2oem.exe - вероятно модифицированный Win32/Agent троянская программа
После перезагрузки компа, доступ к файлам восстановился, в том числе и к авз. Жду дальнейших указаний.
Последний раз редактировалось 3BEPEK; 25.12.2009 в 17:17. Причина: Добавлено
Попробуйте OSAM. Ссылки под рукой нет, но думаю найдете.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ССылочка вот http://www.online-solutions.ru/products/downloads.html
Сделал лог:
Последний раз редактировалось 3BEPEK; 07.03.2010 в 12:24.
Выпонить скрипт:
Прислать, если что-то попадет в карантин.Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\ane6dk70.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\ane6dk70.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys'); bc_DeleteSvc('Winej73'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторить логи AVZ и OSAM
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итак, попорядку.
Скрипт с поста #9 выполнил, на перезагрузке повис, заставил перезагрузиться "пальчиком". В карантин ничего не попало. Выполнил сканирование OSAMoм, который выявил маскирующийся файл ammprao1.sys (не гуглится)
Выполнил 2 и 3 стандартный скрипт, во время которых в карантин попал файл kjhs12df978.pif - переименованый мною полиморфный авз (при проблемах с ограничением доступа к файлам).
Для экономии времени выполнил:
Так же, с целью экономии времени, выполнил сканирование gmer'ом. Все логи ниже. Карантин отправлен.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\ammprao1.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось 3BEPEK; 07.03.2010 в 12:24.
Предложение будет таким: попробовать скопировать данный драйвер с именем типа
ammprao1.sys при помощи Гмера и прислать только его.
Есть, правда, подозрение, что опять чей-ьто временный драйвер, которого реально на диске нет и появляется он только в памяти.
ice-time.dll - ломалка от Нода, наверное.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, Там только Нод стоит.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
По поводу ice-time.dll понятно. Это заморозка триального ключика от Касперского (чистосердечно признаюсь). В логах больше ничего подозрительного не видно?
Добавлено через 11 минут
Возможно, ограничение доступа к файлам и "органам управления" компьютером было вызвано "локальной ошибкой" после выполниения рекомендаций из поста #2, нежели от целенаправленных действий зловреда.
Последний раз редактировалось 3BEPEK; 27.12.2009 в 16:41. Причина: Добавлено
Скрипт верный был.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ExecuteRepair(19); RebootWindows(true); end.
Помогло?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я не утверждаю что скрипт был не верный. Я говорю лишь о том что вероятно какой-то компонент не правильно отреагировал на выполнение скрипта, что вызвало ограничение доступа к файлам.
Последний рекомендуемый скрипт выполнил. Явных нареканий на работу компьютера не наблюдаю.
Добавлено через 4 минуты
Ещё есть вопрос, информативного характера. В последнем логе гмера заметил запущеный C:\DOCUME~1\leader\LOCALS~1\Temp\uxlyipod.sys
Смущает папка откуда запускается и уникальность имени.
Последний раз редактировалось 3BEPEK; 28.12.2009 в 15:18. Причина: Добавлено
Драйвер от гмера.C:\DOCUME~1\leader\LOCALS~1\Temp\uxlyipod.sys
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) 3BEPEK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.