Помогите!

Printable View

Показывать 40 сообщений этой темы на одной странице

11.07.2009, 17:03
son

Вложений: 3

Помогите!

Здравствуйте.
Некоторое время борюсь с троянами и
им подобными вирусами,но похоже без
вашей помощи не обойтись.
11.07.2009, 17:19
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Serj\Рабочий стол\9A92C3409859ABB8\9A92C3409859ABB8','');
DeleteFile('C:\Documents and Settings\Serj\Рабочий стол\9A92C3409859ABB8\9A92C3409859ABB8');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_DeleteSvc('9A92C3409859ABB8');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49782[/url]).
Сделайте новые логи.
Дополнительно такой лог: [url]http://virusinfo.info/showthread.php?t=40118[/url].
11.07.2009, 19:49
son

Вложений: 1

Файл сохранён как 090711_174758_virus_4a58980edd3b0.zip
Размер файла 665
MD5 ef92a4e958e671c9f40a0c30a4c4be25
11.07.2009, 20:34
V_Bond

логи авз повторите ...
11.07.2009, 21:35
son

Вложений: 2

Повторил.
11.07.2009, 21:51
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\hmonitor.sys','');
QuarantineFile('C:\Temp\meaottkq.sys','');
BC_QrSvc('9A92C3409859ABB8');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
11.07.2009, 22:15
son

Файл сохранён как 090711_221434_virus_4a58d68a8818c.zip
Размер файла 7511
MD5 e354f74aed637a36aee522319654d623
11.07.2009, 23:16
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Temp\meaottkq.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи
12.07.2009, 00:28
son

Вложений: 2

Повторяю.
13.07.2009, 10:14
son

Хоть ответа пока нет,насколько я вижу,как минимум
LightLogger - Keyloggers все еще сидит в системе.
13.07.2009, 11:42
V_Bond

выполните скрипт
[code]
begin
BC_DeleteSvc('9A92C3409859ABB8');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
13.07.2009, 13:40
son

Вложений: 2

Повторяю.
13.07.2009, 13:57
thyrex

C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe проверьте на [url="http://www.virustotal.com/ru"]virustotal[/url] Ссылку на результат проверки сообщите

Сделать лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
13.07.2009, 16:03
son

Вложений: 1

Похоже нашли его.
адрес проверки:
[url]http://www.virustotal.com/ru/analisis/ca301c5b9108c8cd83265f4e12950c6ed35582bf29a8cf7768d6a394b5525d29-1247479651[/url]
13.07.2009, 16:15
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe','');
DeleteFile('C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\9A92C3409859ABB8"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\9A92C3409859ABB8"
gmer.exe -reboot[/code]И запустите cleanup.bat
Компьютер перезагрузится

Сделайте новые логи + новый лог gmer
13.07.2009, 17:16
son

Карантин прислал:
Файл сохранён как 090713_170200_virus_4a5b3048d9b23.zip
Размер файла 14271
MD5 e88c5a383c78f0e61b6affdacc89391c

Сохранил текст как cleanup.bat в папке gmer.exe,но...
наверно я торможу ,как запустить текстовой cleanup.bat
13.07.2009, 17:27
thyrex

У вас, наверное, получился файл вида cleanup.bat.txt
[B]Пуск - Панель управления - Свойства папки - Вид[/B] - убрать метку с пункта [B]Скрывать расширения для зарегистрированных типов файлов - Применить - ОК[/B]
13.07.2009, 17:33
son

Нет.
Я создал текстовой документ дал название cleanup.bat
После того как убрал метку он стал cleanup.bat.txt
Похоже я что-то не понял.?
Для запуска надо вставить в командную строку?
13.07.2009, 17:47
thyrex

Можно сделать так. Когда в Блокноте выбираете [B]Сохранить как[/B] в окне [B]Тип файла[/B] выберите [B]Все файлы (*.*)[/B] и в строке [B]Имя файла[/B] напишите cleanup.bat
Должно сохраниться как нужно.
Файл можно запускать из командной строки
13.07.2009, 17:57
son

Спасибо.
Теперь все как надо.
Пошел готовить логи.

Показывать 40 сообщений этой темы на одной странице