Компьютер самопроизвольно перегружается постоянно.
При загрузке всплывает окно "Мои документы".
Выполняя Ваши правила, получил странный результат: после выполнения первого скрипта и перезагрузки перестал запускаться AVZ. Что делать?
Printable View
Компьютер самопроизвольно перегружается постоянно.
При загрузке всплывает окно "Мои документы".
Выполняя Ваши правила, получил странный результат: после выполнения первого скрипта и перезагрузки перестал запускаться AVZ. Что делать?
AVZ много поудаляла.
В Safe Mode попробовать сделать логи + доп.лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
Уже можно загружать карантин через ссылку вверху темы.
Как много же Вы накопили? М.б. проще будет пролечиться Cure-It от Доктора Веба (ссылка в Правилах).
Не хватает virusinfo_syscheck.zip.
Cure-It предварительно пролечились.
Дополн.логи прицепляю.
[B]sparrow[/B], переделать. поменять имя авз и запускать только под админом
Не понял, что переделать?
Все логи сначала? На что поменять имя АВЗ?
P.S. Отправляю карантин
[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]
Файл сохранён как 070912_015912_virus_46e78e409bb18.zip
Размер файла 6124
MD5 ea469b0a0b4324b48d1bc3b20a59e203
На время выполнения скриптов, отключите антивирусный монитор, [URL="http://virusinfo.info/showthread.php?t=4905"]отключите восстановление системы[/URL] и отключитесь от сети. Переименуйте файл avz.exe в 123.com , например, и попробуйте запустить программу. Если AVZ запустится, то файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Gaa26.sys','');
QuarantineFile('C:\WINDOWS\system32\Gaa26.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Gaa26.sys','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\system32\SysCVMS.exe','');
QuarantineFile('C:\Program Files\WinAble\winable.exe','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
BC_DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
BC_DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\Program Files\WinAble\winable.exe');
BC_DeleteFile('C:\Program Files\WinAble\winable.exe');
DeleteFile('C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12383[/url] , как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL], и сделайте новые логи.
Выполнено.
Карантин заархивирован сразу после выполнения присланного скрипта, до выполнения стандартных.
Файл сохранён как 070912_042126_virus_46e7af963b576.zip
Размер файла 351486
MD5 55e564e4efcfd091ea0f16ada56331eb
Да уж... На время выполнения скриптов, отключите антивирусный монитор, отключите восстановление системы и отключитесь от сети. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\spooldr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Gaa26.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Gaa26.sys');
DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
BC_DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
BC_DeleteSVC('aspimgr');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пофиксите с помощью Hijackthis строчки: [code]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\Run: [SysCVMS.exe] C:\WINDOWS\system32\SysCVMS.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\VGETMA~1\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)[/code], загрузите снова карантин AVZ и повторите логи, начиная с п. 10 правил. Дистрибутив Windows у вас есть под рукой? Если нет - ищите, похоже, что пропатчены системные файлы, их, вероятно, придется восстанавливать с дистрибутива
Дистрибутив есть.
Логи прицепляю.
Файл сохранён как
070913_002237_virus_46e8c91d2735f.zip
Размер файла15983MD5e701beabd482fe060c2bb14b69fb32b5
То, что попало в карантин - Email-Worm.Win32.Zhelatin.it
В единственном экземпляре.
? Что сделать-то?
Один зверь остался. Наверное, давайте так: скачайте бету cureit! - [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe[/url] . [URL="http://virusinfo.info/showthread.php?t=9279"]Перезагрузитесь в безопасном режиме[/URL] . Предварительно через AVZ попробуйте [URL="http://virusinfo.info/showthread.php?t=4567"]найти и добавить в карантин[/URL] два файла: [code]c:\windows\system32\DRIVERS\tcpip.sys
c:\windows\system32\ntoskrnl.exe[/code] После этого, запустите CureIt! и проведите полную проверку. ВНИМАНИЕ: программа CureIt! сначала проводит экспресс-проверку, по окончании которой следует отметить пункт "Полная проверка" и нажать кнопку "старт". Следите за логом - скорее всего, будет удален, как неизлечимый, файл C:\WINDOWS\system32\simp_dll.dll и вылечен файл c:\windows\system32\DRIVERS\tcpip.sys . Если какой-то из файлов c:\windows\system32\DRIVERS\tcpip.sys или c:\windows\system32\ntoskrnl.exe будет удален в ходе проверки, то на диске с дистрибутивом Windows найдите, соответственно, tcpip.sy_ и ntoskrnl.ex_ , переименуйте в файлы с расширением .rar и распакуйте полученные архивы. Полученные файлы следует поместить, соответственно, tcpip.sys - в c:\windows\system32\DRIVERS\ ; ntoskrnl.exe - в c:\windows\system32\ . По окончании проверки, загрузитесь в обычном режиме, пришлите содержимое карантина AVZ и сделайте новые логи по проавилам.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]
to [b]PavelA[/b] : там был предыдущий карантин неплохой:
C:\WINDOWS\system32\drivers\Gaa26.sys - Rootkit.Win32.Agent.ea
C:\WINDOWS\system32\ipv6monl.dll - Trojan-Spy.Win32.BZub.ih
C:\WINDOWS\system32\spoolsvv.exe - Trojan-Proxy.Win32.Agent.oz
C:\WINDOWS\system32\SysCVMS.exe - Packed.Win32.PolyCrypt.d
C:\Program Files\WinAble\winable.exe - Trojan-Downloader.Win32.Adload.lj
C:\WINDOWS\system32\simp_dll.dll - SpamTool.Win32.Agent.u
(все - по классификации Касперского)
[QUOTE='Numb;134045']to PavelA : там был предыдущий карантин неплохой:
C:\WINDOWS\system32\drivers\Gaa26.sys - Rootkit.Win32.Agent.ea
C:\WINDOWS\system32\ipv6monl.dll - Trojan-Spy.Win32.BZub.ih
C:\WINDOWS\system32\spoolsvv.exe - Trojan-Proxy.Win32.Agent.oz
C:\WINDOWS\system32\SysCVMS.exe - Packed.Win32.PolyCrypt.d
C:\Program Files\WinAble\winable.exe - Trojan-Downloader.Win32.Adload.lj
C:\WINDOWS\system32\simp_dll.dll - SpamTool.Win32.Agent.u
(все - по классификации Касперского)[/QUOTE]
Да, я обратил внимание на этот зверинец. Мой комментарий был про посл. загруженный.
Файл сохранён как070913_050200_virus_46e90a985ef82.zipРазмер файла1576532MD5f96f08470a051b8c6395726e92ee88a7
1.Запрошенные файлы нашел (почему-то АВЗ поиск не находит по полному имени, а с помощью масок *tcpip.sys и *ntoskrnl.exe находит) и отправил.
2.С:\WINDOWS\system32\simp_dll.dll исцелен с рестартом.
3.На c:\windows\system32\DRIVERS\tcpip.sys бета cureit! не реагирует.
4. c:\windows\system32\ntoskrnl.exe исцелен.
5.Восстановление указанных файлов с дистрибутива не делал, т.к. они и не удалялись.
P.S. По прежнему при каждой загрузке всплывает окно "Мои документы" и не запускается диспетчер задач (отключен администратором :?).
Касперский определяет c:\windows\system32\DRIVERS\tcpip.sys как Trojan.Win32.Patched.ao, причем не лечит, только удаляет. Соответственно, перезагружайтесь в безопасном режиме и восстанавливайте его с дистрибутива, как я писал ранее.
После этого, загрузитесь в обычном режиме и выполните: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
executerepair(6);
rebootwindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.
Выполнил.
Стал запускаться диспетчер задач.
Но не могу посмотреть параметры брэндмауэра. ( при попытке посмотреть их - сообщение:"вследствии неопределенной ошибки не удается определить параметры брэндмауэра")
Совет от Олега Зайцева:
[QUOTE]в AVZ меню "Файл\резервное копирование", там следует отметить пункт номер 7 и нажать "выполнить". После этого в папке AVZ\BackUp появится User_WF.reg_<дата-время>.reg. Его следует прицепить сюда в архиве ZIP (это настройки брандмауэра Windows). Далее AVZ, Меню "Файл\Восстановление системы", там выделиьт позиции 6 и 9 и выполнить восстановление. Сразу после этого можно попоробовать открыть настройки брандмауэра, может сработает.[/QUOTE]
Вдогонку, если совет от PavelA не поможет, посмотрите вот эту - [url]http://virusinfo.info/showthread.php?t=12078[/url] , и эту - [url]http://virusinfo.info/showpost.php?p=133840&postcount=15[/url] ссылки.
Еще, что из перечисленного действительно используется? [code]8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/code] В принципе, если машина не включена в локальную сеть и к ней не организован удаленный доступ, можно отключить практически все из списка