Помогите плиз, моя система кажется стала гибридной))))
в общем есть бравиакс. ехе но авз удалить не может....
отправляю логи...хайджек не запускается (
Printable View
Помогите плиз, моя система кажется стала гибридной))))
в общем есть бравиакс. ехе но авз удалить не может....
отправляю логи...хайджек не запускается (
отключите восстановление системы
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\Recycled\deskinf.pif','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\shell64.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
DeleteService('beep');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\beep.SYS','');
QuarantineFile('c:\windows\system32\msword98.exe','');
QuarantineFile('c:\documents and settings\sergey\msword98.exe','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('c:\documents and settings\sergey\msword98.exe');
DeleteFile('c:\windows\system32\msword98.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\shell64.dll');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\Recycled\deskinf.pif');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
спасибо, как оперативно.
сейчас сделаю пришлю)
все так же висит эта дрянь
Файл [COLOR="Red"]C:\WINDOWS\system32\Drivers\ntfs.sys[/COLOR] заражен, его нужно заменить на чистый из дистрибутива:
- Загрузитесь в [URL="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=10"]консоли восстановления[/URL]
- На приглашение введите строку:
[CODE]copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys[/CODE]
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.
- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.
Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.
Дальнейшее лечение будет эффективным только после выполнения вышенаписанного
поменял я файлик, потом не смог загрузиться...только на второй раз после ERD Commandera но ему я не дал запуститься.....
зашел в нормальный режим и вот логи....
[COLOR="Red"]отключите восстановление системы ![/COLOR]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('beep');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\beep.sys');
DeleteFile('C:\WINDOWS\system32\serlibk.exe');
DeleteFile('C:\WINDOWS\system32\windfire.exe');
DelWinlogonNotifyByFileName('cru629.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
так отключал же!!!
:)
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\Documents and Settings\Sergey\Мои документы\11782-krasotka-s-malenkojj-grudju-16-foto_files\xyyandex_002.js','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\Documents and Settings\Sergey\Мои документы\11782-krasotka-s-malenkojj-grudju-16-foto_files\xyyandex_002.js');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи (и лог HiJack тоже)
спасибо, вот логи
и что означает вот это ?
[QUOTE]
Функция NtClose (19) перехвачена (805675D9->F74C5C58), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8056F063->F74C5C10), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F74B9C70), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056F76A->F74BA4FE), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F74C5D50), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (805684D5->F74C5BD4), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8056F473->F74BA51E), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F74C5CA6), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F74C54F0), перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
[/QUOTE]
так постоянно при скрипте лечения/карантина
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - AppInit_DLLs: cru629.dat
[/CODE]
Перегрузитесь.
После перезагрузки:
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
[QUOTE=Humloves;445760]
и что означает вот это ?[/QUOTE]
[QUOTE]драйвер опознан как безопасный[/QUOTE]
Чтобы в этом удостовериться нужно сначала
[QUOTE]>>> Код перехватчика нейтрализован[/QUOTE]
вот логи
В логах чисто.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
спасибо
можно наверное закрывать))
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\microsoft\shortcuts\icwsetup.exe - [B]Trojan.Win32.Agent.ctgx[/B] ( DrWEB: Trojan.DownLoad.43139, BitDefender: Trojan.Agent.ANKK )[*] c:\program files\internet explorer\connection wizard\icwsetup.exe - [B]Trojan.Win32.Agent.ctgx[/B] ( DrWEB: Trojan.DownLoad.43139, BitDefender: Trojan.Agent.ANKK )[*] c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp111\a0036776.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[*] c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp111\a0036782.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[*] c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp111\a0036915.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[*] c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp84\a0031601.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[*] c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp86\a0031641.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[*] c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp97\a0035805.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[*] c:\system volume information\_restore{db4eb00d-0f06-4b44-b1ee-46c7e18855f2}\rp98\a0035814.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[*] c:\windows\system32\cru629.dat - [B]Backdoor.Win32.Small.ejx[/B] ( DrWEB: Trojan.Proxy.1739, BitDefender: Trojan.Generic.343897 )[*] c:\windows\system32\serlibk.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[*] c:\windows\system32\windfire.exe - [B]Trojan-Spy.Win32.Agent.qj[/B] ( DrWEB: BackDoor.Monsh, BitDefender: Win32.Worm.Agent.AI )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]