Показано с 1 по 18 из 18.

Трабл! (заявка № 8494)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    20
    Вес репутации
    63

    Thumbs up Трабл!

    Собственно после установки дров при загрузки появляется табличка нельзя открыть файл 57.tmp . Nod32 начал ругатся и удалил файл теперь он показывает не удается найти этот файл.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\winIogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\auahw.exe','');
    RebootWindows(true);
    end.
    Компьютер перезагрузится. Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\57.tmp
    Файлы карантина AVZ пришлите согласно приложению 3 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    20
    Вес репутации
    63
    скрипт выполнил пишит, что ошибка и ничего в карантине не сохраняет
    Вложения Вложения
    Последний раз редактировалось psywalker; 19.03.2007 в 03:41.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуем такой скрипт:
    Код:
    begin
    BC_QrFile('C:\WINDOWS\System32\winIogon.exe');
    BC_QrFile('C:\WINDOWS\System32\auahw.exe');
    BC_LogFile(GetAVZDirectory + 'boot_clr.log') ;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки прикрепите к теме файл boot_clr.log из папки с AVZ.
    Если в карантине что-то будет, пришлите согласно приложению 3 правил.

  6. #5
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    20
    Вес репутации
    63
    вот
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    "пофиксите" в HijackThis
    Код:
    O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\auahw.exe
    O4 - HKLM\..\Run: [Microsoft (R) Windows Protocol Deployment Manager] C:\WINDOWS\system32\57.tmp
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
    O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\57.tmp (file missing)
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(16);
    RebootWindows(true);
    end.
    После перезагрузки Выполните ещё один скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\57.tmp','');
     QuarantineFile('C:\WINDOWS\System32\winIogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\auahw.exe','');
    RebootWindows(true);
    end.
    После ещё одной перезагрузки все, что попадет в карантин пришлите по правилам раздела.
    Последний раз редактировалось Макcим; 19.03.2007 в 16:22.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\auahw.exe');
     DeleteFile('C:\WINDOWS\System32\winIogon.exe');
     DeleteFile('C:\WINDOWS\system32\57.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\57.tmp
    O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\57.tmp (file missing)
    Еще раз перезагрузитесь и сделайте новые логи п.10 и 12 правил.

  9. #8
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    20
    Вес репутации
    63
    логи
    жалуется на файл C:\WINDOWS\system32\Drivers\sptd.sys
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    В карантин что-нибудь попало? Чьи скрипты выполняли?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578

    Thumbs up Очень хорошо!

    Следов зверя больше не видно.
    Вот это сами в хосты прописывали?
    Код:
    O1 - Hosts: 87.242.89.182 nprotect.lineage2.com
    O1 - Hosts: 87.242.89.182 update.nprotect.com
    O1 - Hosts: 87.242.89.182 update.nprotect.net
    O1 - Hosts: 87.242.89.181 l2authd.lineage2.com
    O1 - Hosts: 87.242.89.181 l2testauthd.lineage2.com
    Если нет, и имена серверов ни о чем не говорят, то пофиксить.
    А что говорит про sptd?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Да, вот еще косячок остался: в реестре параметр
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load со значением C:\WINDOWS\system32\57.tmp.
    Хайджек его не видит, надо бы удалить в Regedit, сможете?

  13. #12
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    20
    Вес репутации
    63
    Цитата Сообщение от MaXim Посмотреть сообщение
    В карантин что-нибудь попало? Чьи скрипты выполняли?
    В карантине файлов нет, скрипты выполнил и те и другие.

    Цитата Сообщение от Bratez Посмотреть сообщение
    Следов зверя больше не видно.
    Вот это сами в хосты прописывали?
    Код:
    O1 - Hosts: 87.242.89.182 nprotect.lineage2.com
    O1 - Hosts: 87.242.89.182 update.nprotect.com
    O1 - Hosts: 87.242.89.182 update.nprotect.net
    O1 - Hosts: 87.242.89.181 l2authd.lineage2.com
    O1 - Hosts: 87.242.89.181 l2testauthd.lineage2.com
    Если нет, и имена серверов ни о чем не говорят, то пофиксить.
    А что говорит про sptd?
    2 последние я прописывал, 3 первые я на всякий случай удалили
    Вот логи из AVZ
    Код:
    Функция NtCreateKey (29) перехвачена (80618E8A->F73820B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (806196CA->F7387A92), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (80619934->F7387E20), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (8061A220->F7382090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (8061A544->F7387EF8), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (80616F44->F7387D78), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (8061754A->F7387F8A), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Вот еще подозрение
    Код:
    C:\Documents and Settings\Валерий\Local Settings\Temporary Internet Files\Content.IE5\AZE2TKJV\ZFBCLEAN[1].ZIP Invalid file - not a PKZip file
    C:\Documents and Settings\Валерий\Local Settings\Temporary Internet Files\Content.IE5\VTR8T5O4\ZFDCLEAN[1].ZIP Invalid file - not a PKZip file
    ключ из реестра удалил
    Последний раз редактировалось Макcим; 02.05.2007 в 17:14.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Насчет sptd.sys - все ОК, это легитимный драйвер, просто антируткит отключает его перехваты. Второе подозрение тоже безосновательно.
    ключ из реестра удалил
    Теперь у Вас все чисто!

  15. #14
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    20
    Вес репутации
    63
    Цитата Сообщение от Bratez Посмотреть сообщение
    Насчет sptd.sys - все ОК, это легитимный драйвер, просто антируткит отключает его перехваты. Второе подозрение тоже безосновательно.

    Теперь у Вас все чисто!
    ну не знаю вот что пишет nod :
    Файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ZTT0O28H\ve0wh[1].jpg инфицирован модифицированный Win32/TrojanProxy.Ranky троян

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Очистите кэш IE

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Имелось ввиду "чисто в системе", а что там вообще на дисках - отсюда ж не видно . В данном случае можно просто почистить временные файлы IE (в "Свойствах оборзевателя"). Ну и конечно просканировать весь комп антивирусом со свежими базами, это кстати в правилах написано в п.1.

  18. #17
    Junior Member Репутация
    Регистрация
    13.02.2007
    Сообщений
    20
    Вес репутации
    63
    Спасибо всем за помощь)

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Вы можете нас отблагодарить так Мы будем Вам очень благодарны!

  • Уважаемый(ая) psywalker, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Трабл
      От I don't know в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 03:46
    2. Трабл с EXE ..etc
      От amina_g в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.03.2008, 18:48
    3. Помоему трабл с КАВ 7.0.1.325
      От Dark_Blaze в разделе Антивирусы
      Ответов: 9
      Последнее сообщение: 23.02.2008, 16:47
    4. В чем трабл???
      От krome в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.08.2007, 18:05
    5. Трабл!!!
      От BoozyWoozy в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 13.07.2007, 16:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01360 seconds with 18 queries