Printable View
Привет всем !
При загрузке компьютера срабатывает NOD32 показывает что была атака на мой компьютер
с адресов 92.241.165.123:80 c адреса butirat.com/njob
и с адреса 85.17.170.119:80 с другово адреса
ну так вот после того как это действие происходит
я не могу открыть не firefox не explorer программа выдает ошибки типа память не может быть written да qip тоже не работает и выдает ошибку
проверка нодом не увенчалась успехом, avz показывает но ничего тоже не происходит логи прикладываю спасибо !
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
QuarantineFile('C:\System Volume Information\_restore{E66B942E-E0DB-4EF4-BD09-4AAB155EC00D}\RP254\A0067667.exe','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\System Volume Information\_restore{E66B942E-E0DB-4EF4-BD09-4AAB155EC00D}\RP254\A0067667.exe');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/CODE]
[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
После перезагрузки:
- [URL="http://virusinfo.info/upload_virus.php?tid=70721"]Закачайте файл ..\avz\quarantine.zip[/URL] для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
ничего хорошего не произошло все запускаемые файлы в формате exe выдают ошибки последняя из них обновление виндовc update.exe так же текстовый редактор и так далее
прикладываю логи после ваших действий !
файл на карантин тоже закачал.
короче процесс походу не обратимый с системой не лады при первом запске firefox нормально заходит после того когда я закрываю программу и запускаю заново выдает ошибку " Инструкция по адресу "0x0003e1879" обратилась к памяти по адресу "0x003ec000" .Память не может быть "written" "OK" завершение приложения стер нод хочу поставить его обратно все без успешно выдает эту ошибку и большое ничего лог в avz ничего не показывает своими силами все подчистил
[QUOTE]
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 10.02.2010 14:02:36
Загружена база: сигнатуры - 263294, нейропрофили - 2, микропрограммы лечения - 56, база от 10.02.2010 02:18
Загружены микропрограммы эвристики: 378
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 170506
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26B8 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 248
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 278, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 10.02.2010 14:02:59
Сканирование длилось 00:00:27
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - [url]http://virusinfo.info[/url]
[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\netprotocol.dll - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647 )[*] c:\windows\system32\overlapp32.dll - [B]Trojan-Spy.Win32.Hascha.dt[/B] ( DrWEB: Trojan.PWS.Banker.41337, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]