Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

При проверке трояна виснут антивирусы и AVZ (заявка № 88817)

  1. #1
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25

    Exclamation При проверке трояна виснут антивирусы и AVZ

    Доброго дня уважаемому экспертному сообществу!

    Антивирус (Нортон) при подключении компа к И-нету постоянно сигнализирует о том, что кто-то пытается отправлять спам по куче е-мэйл-алресов через почтовую программу (я ей, впрочем, не пользуюсь).

    Как Нортон, так и AVPtool при проверке системы или папок зависают, как правило - при проверке WINDOWS\System32. Та же участь постигает AVZ, зависает наглухо в самом-самом конце выполнения первого требуемого согласно Правил стандартного скрипта, при проверке:
    C:\WINDOWS\System32\dllcache\apps.chm/{CHM}//idh_w2_52004.htm

    При попытке выполнить второй скрипт тоже зависает.

    Поэтому приложить могу лишь лог проверки Hijack-ом.

    В папке "Автозагрузка" -куча "левых" exe-шников, ЕМНИП, все одного размера, свободно удаляются вручную - но по ходу времени воспроизводятся (каждый раз, кажется, под новыми именами).

    В папке C:\Documents and Settings\1\Application Data ("1" - это, соответственно, имя пользователя) лежит файл juzjf.exe, его удается "отложенно удалить" при помощи AVZ, но потом он снова появляется.

    В папке C:\Documents and Settings\1 и в C:\WINDOWS\System32 лежит файл jyfliflaЋ.exe (на 100% насчет последнего символа не уверен, переписываю на другом компе с бумажки; в общем, кажется, это сербское "Ч"), удаляется вручную свободно, но потом снова воспроизводится.

    В папке C:\WINDOWS\System32\ лежат также три файла со свежей датой: uti3otqy.sys (ЕМНИП, знакомое имячко, уже как-то боролся с таким), ndis.sys и chqzuvmz.sys

    В папке C:\Documents and Settings\1\Local Settings\Temp несколько явно "левых" exe-шников, AVZ пока работает, их видит и опознает как опасные.

    Проверку папки C:\Documents and Settings\1 при помощи AVZ выполнить удалось, если надо, могу разместить тут протокол.

    Случай, как я понимаю, тяжелый, но надеюсь на удачу и заранее благодарю.
    Вложения Вложения
    Последний раз редактировалось borbesk; 27.09.2010 в 10:45.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - сделайте лог Combofix

  4. #3
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    Тоже не пошло. После 17 пункта задумывается надолго...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Профиксите в HijackThis
    Код:
    O4 - HKLM\..\Run: [jyflifvaЋ] C:\WINDOWS\System32\jyflifvaЋ.exe
    O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\1\LOCALS~1\Temp\2963.exe
    O4 - HKCU\..\Run: [jyflifvaЋ] C:\Documents and Settings\1\jyflifvaЋ.exe
    - попробуйте сделать логи таким AVZ

  6. #5
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    Нет, по-прежнему логи делает только HijackThis.

    Разместить его свежий лог?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    попробуйте сделать лог Combofix в безопасном режиме

  8. #7
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    попробуйте сделать лог Combofix в безопасном режиме
    Прошу прощения за задержку.
    Удалось, прилагаю лог.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    c:\windows\system32\drivers\ndis.sys
    c:\windows\system32\dllcache\ndis.sys
    Замените файлы с дистрибутива http://virusinfo.info/showthread.php?t=51654

    c:\windows\System32\drivers\beep.sys восстановите по той же инструкции

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\drivers\chqzuvmz.sys
    c:\program files\Common Files\Files.rar
    c:\program files\Common Files\ajuzaju.scr
    c:\program files\Common Files\fyvot.bat
    
    Driver::
    chqzuvmz
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    Системные файлы заменить не удается. Правда, перед этим при входе в консоль восстановления и пароль администратора не спрашивают.

    Скрипт ComboFix-а все равно выполнить или как ?

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Не заменив файлы, продолжать лечение бессмысленно
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    Попытаюсь разобраться еще раз.

  13. #12
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    Снял опцию "автоматически входить с правами администратора в консоль восстановления" - чтоб уж наверняка. Ввел пароль администратора, все по инструкции... но заменить системные файлы все равно не удается. Отказывается, и все тут - "0 файлов распаковано" (у меня на дтстрибутиве они " *.sy_ ")... Дистрибутив тот, точно.

    Можно ли еще что-нибудь сделать - или это уже все?

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Попробовать это сделать с какого-либо LiveCD
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    С Live CD требуемые системные файлы распаковались-заменились.

    Требуемый скрипт Combofix выполнил снова только в безопасном режиме.
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

  17. #16
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    Выполнил, выкладываю.
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Поставте все последние обновления системы Windows - тут

  19. #18
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    Карантин загружен. Ввел пароль "virus", как там было написано.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\002.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\243.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\381.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\466.exe');
    DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\485.exe');
      DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\631.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\899.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\997.exe');
    DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\g9c1yuupgg.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\hcc6ou70vrm.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\oojffbrr.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\pa6hm3oo.exe');
    DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\vlbc70dzuu6.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\zzvllhxx.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\6kk6bc7.exe');
     DeleteFileMask('C:\Documents and Settings\1\Local Settings\Temp', '*.*', true);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте лог MBAM

  21. #20
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    25
    Опцию "удалить зараженные файлы" я не выбирал. Правильно?
    Среди зараженных файлов - элемент карантина из одной из летних проверок AVZ...
    Вложения Вложения

  • Уважаемый(ая) borbesk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Антивирусы виснут.
      От cmeptywka в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.12.2010, 21:10
    2. виснут все приложения
      От Deya_ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.11.2010, 18:38
    3. Виснут приложения
      От odisey в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.03.2010, 22:49
    4. виснут игры помогите
      От sarex85 в разделе Аппаратное обеспечение
      Ответов: 10
      Последнее сообщение: 07.10.2009, 10:02
    5. Виснут приложение Office
      От eppa в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 05.09.2009, 09:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01224 seconds with 21 queries