Поймал какую-то гадость

Printable View

08.12.2008, 23:27
RKP

Вложений: 3

Поймал какую-то гадость

Антивирус фаервол ругнулся на какойто процес который шлет UDP запросы. Заблокировал. Но всеравно он шлет по другим адресам. Кое то убил из автозапуска. Но все равно остаются левые процессы.
Да и эта гадость спряталась в корзине и запускалась от имени CTFMON.exe.
Если надо могу выслать бакупсы от hijackthis
08.12.2008, 23:38
akok

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Probe', 4);
SetServiceStart('mhk', 4);
QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
QuarantineFile('C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\probe.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mhk.sys','');
QuarantineFile('C:\WINDOWS\system32\nl_msg.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\mhk.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\probe.sys');
DeleteFile('C:\WINDOWS\system32\autorun.exe');
DeleteService('Probe');
DeleteService('mhk');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

логи повторите
09.12.2008, 01:01
RKP

После выполнения скрипта умерла клавиатура. В досе работает. Драйвер для этого устройства был отключен. Возможно, необходимые функции исполняет другой драйвер. (Код 32)

Нажмите кнопку "Диагностика", чтобы запустить мастер диагностики для данного устройства.
09.12.2008, 14:59
RKP

После выполнения скрипта умерла клавиатура.
В диспетчере устройств стоит восклицательный знак.Нажимаешь свойства выдаёт такую надпись
"Драйвер для этого устройства был отключен. Возможно, необходимые функции исполняет другой драйвер. (Код 32)

Нажмите кнопку "Диагностика", чтобы запустить мастер диагностики для данного устройства."
Пытался переставить драйвер, то-же самое.

Это произошло после перезагрузки компьютера. С загрузочного диска загружаешься клавиатура работает. Как все починить???
10.12.2008, 12:17
RKP

Вы не пробывали без клавы сделать логи и их отправить. Что мне Сделать. Ни ответа не привета.
10.12.2008, 13:32
akok

н-да увлекся :(

AVZ - файл - просмотр карантина - выбрать дату выполнения скрипта:
Поставить галку напротив [B]C:\WINDOWS\system32\Drivers\mhk.sys[/B]
Нажать кнопку востановить.
Перезагрузиться.

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Если не выйдет, прийдется накатить драйвера клавиатуры с диска
10.12.2008, 16:39
Bratez

Можно просто удалить клавиатуру в Диспетчере устройств и перезагрузиться, тогда система сама установит стандартный драйвер клавиатуры.
11.12.2008, 11:36
RKP

[quote=akoK;320472]н-да увлекся :(

AVZ - файл - просмотр карантина - выбрать дату выполнения скрипта:
Поставить галку напротив [B]C:\WINDOWS\system32\Drivers\mhk.sys[/B]
Нажать кнопку востановить.
Перезагрузиться.

[SIZE=1][COLOR=#666686][B][I]Добавлено через 19 минут[/I][/B][/COLOR][/SIZE]

Если не выйдет, прийдется накатить драйвера клавиатуры с диска[/quote]
Это драйвер от системы криптографии. Я его уже восстановил.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=Bratez;320549]Можно просто удалить клавиатуру в Диспетчере устройств и перезагрузиться, тогда система сама установит стандартный драйвер клавиатуры.[/quote]
Непомогало. Даже установка нового драйвера.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Все починил. Принес с работы ноут и сравнил все строки реестра где встречалась клавиатура. Короче там порт был поменян. Поменял как на ноуте и все заработало.Видать какой-то перехватчик в вирусе был.
11.12.2008, 23:42
RKP

Вложений: 3

После воостановления клавиатуры присылаю новые логи.
Система постоянно лезет на unknown.hostforweb.com/
14.12.2008, 16:56
RKP

Пожалуйста посмотрите новые логи

Пожалуйста посмотрите новые логи
14.12.2008, 19:22
akok

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\jpicpl32.cpl','');
QuarantineFile('C:\Program Files\NetLimiter\nl_lsp.dll','');
QuarantineFile('C:\WINDOWS\UnInst32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\klif.sys','');
QuarantineFile('C:\WINDOWS\system32\nl_msg.dll','');
QuarantineFile('c:\windows\system32\hotfixq0306270.exe','');
DeleteFile('C:\WINDOWS\services.exe');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DE625294-70E6-45ED-B895-CFFA13AEB044}');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

Включите AVZPM и повторите логи.