-
Junior Member
- Вес репутации
- 52
после загрузки выгружается Outpost Security Suite Pro, USB Disk Security, а под личиной drweb вир.
Если загружены все службы то происходит отторгание системой установленных антивирусов и щитов, за drweb похоже вир прикинулся. Кое как отключил все службы но полного эфекта нет. Вир присутствует, установленный дрвеб ничего не находит. CureIt! и лайфдрвеб находили по мелочи и безрезультатно. Да и AVZ он тоже выгружал если не включена функция гуард но не сразу, сек 30.
А вот когда последние службы отключил то уже не мог выгрузить.
да еще закрыт просмотр скрытых файлов и защищённых системных файлов.
Через регет скрытые открыл а вот защищённые системные файлы нет.
Комп в защищённом режиме не грузится...
последний вир найденный CureIt - Probably DLOADER.IRC.Trojan
до этого Win32.HLLW.Shadow.based но от него как будто проличились подключили интернет и понеслось....
высылаю два лога выполненных при остановленных службах:
1 - первый проход
2 - проход после перезагрузки
С уважением,
Геннадий
Последний раз редактировалось pig; 24.01.2010 в 00:38.
Причина: карантин в теме - моветон
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
не ужели всё так плохо
-
Пришлите логи по правилам. Без файлов карантина.
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
исправляю в соотвествии с правилами файлы
-
Пофиксить в Hijack следующие строки:
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\myxxpfpv.sys','');
DeleteService('myxxpfpv');
QuarantineFile('C:\WINDOWS\System32\Drivers\vdvqunxy.sys','');
DeleteService('vdvqunxy');
DeleteFile('C:\WINDOWS\System32\Drivers\vdvqunxy.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\myxxpfpv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(6);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
запрошенный карантин отправлен
Файл сохранён как 100124_125837_quarantine_4b5c19cdb46d6.zip
Размер файла 1198
MD5 ff62901b9d132d3fdf1b2f588f278418
логи приложены
Спасибо!
-
В логах чисто, что с проблемой?
Рекомендую обновить, иначе могут быть проблемы Windows XP SP2 до Windows XP SP3, возможно потребуется активация, + последние обновления на ОС.
-
-
Junior Member
- Вес репутации
- 52
оутпост при загрузке выдаёт - не удалось загрузить др сетевых операций.
в свойствах папок неубирается галка - скрывать защищённые сис папки
-
-
-
Junior Member
- Вес репутации
- 52
завтра теперь не успеваю
спасибо!
Добавлено через 4 часа 11 минут
др.веб встал хорошо, управление лицензиями работает (до лечения даже не открывалось)
с утра поставлю оутпост возможно всё встанет в норму.
лог сделаю отправлю.
Последний раз редактировалось ckkem; 24.01.2010 в 18:02.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 52
оутпост встал нормально с вебом сцепка прошла.
Осталась проблема - снять галку у скрывать защищённые системные файлы не удаётся.
скрытые файлы открыл через регедит.
прилогаю лог мвам.
Последний раз редактировалось ckkem; 25.01.2010 в 07:59.
-
Удалить в MBAM:
Код:
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
C:\msrpc01.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\CRACK.TXT (Rogue.Link) -> No action taken.
Сделать лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Осталась проблема - снять галку - скрывать защищённые системные файлы, не удаётся.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(8);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Рекомендую обновить Windows XP SP2 до Windows XP SP3, возможно потребуется активация, + установить последние обновления на ОС.
-
-
Junior Member
- Вес репутации
- 52
выполнил.
также выполнил пункт 10 AVZ - восстановление системы, теперь в защищённом режиме грузимся.
Остаётся проблема - снять галку - скрывать защищённые системные файлы, не удаётся.
Возможно стоит ещё какие нибудь процедуры AVZ выполнить я не спец боюсь навредить.
Спасибо!
-
Выполните скрипт
Код:
begin
RegKeyParamDel('HKLM','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL','CheckedValue');
RegKeyParamWrite('HKLM','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL','CheckedValue','reg_dword','1');
RebootWindows(true);
end.
Отпишитесь
-
-
Junior Member
- Вес репутации
- 52
Выполнил.
пока без изменений.
Добавлено через 1 час 17 минут
То что Вами предложено я уже сделал раньше со скрытыми файлами и это сработало.
А вот с фишкой "скрывать защищённые системные файлы" никак.
Всё скрывает и скрывает...
За ранее, Спасибо!
Последний раз редактировалось ckkem; 26.01.2010 в 16:08.
Причина: Добавлено
-
Выполните такой скрипт
Код:
begin
RegKeyParamDel('HKLM','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden','CheckedValue');
RegKeyParamWrite('HKLM','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden','CheckedValue','reg_dword','0');
RebootWindows(true);
end.
-