Здравствуйте!
Обращаюсь за помощью, поскольку сам не знаю, что делать дальше.
Логи в аттаче, будьте добры, посмотрите, пожалуйста.
Заранее благодарен.
С уважением.
Printable View
Здравствуйте!
Обращаюсь за помощью, поскольку сам не знаю, что делать дальше.
Логи в аттаче, будьте добры, посмотрите, пожалуйста.
Заранее благодарен.
С уважением.
[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cpl_moh.cpl','');
QuarantineFile('C:\WINDOWS\system32\AdvUninstCPL.cpl','');
QuarantineFile('C:\WINDOWS\system32\CD_Load.exe','');
QuarantineFile('C:\WINDOWS\system32\COMPT.sys','');
QuarantineFile('C:\WINDOWS\system32\wintuh32.dll','');
QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\system32\cd_clint.dll','');
QuarantineFile('C:\WINDOWS\system32\mlljj.dll','');
QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
QuarantineFile('c:\program files\kaspersky lab\kaspersky anti-virus 6.0\updater2005.ppl','');
QuarantineFile('C:\Documents and Settings\Andy.HOME-QKICGUK841\Local Settings\Temporary Internet Files\Content.IE5\4KD090HS\openpass[1].zip/{ZIP}/OPENPASS.EXE','');
RebootWindows(true);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9301[/url].......
Спасибо за ответ.
К сожалению, проделать рекомендованное смогу только вечером, поскольку это несчастье случилось на домашнем компьютере.
Если разрешите, ещё вопрос: - это нужно для того, чтобы выслать файлы из карантина на анализ или таким образом производится лечение?
[quote=AndyR0;106004]Спасибо за ответ.
К сожалению, проделать рекомендованное смогу только вечером, поскольку это несчастье случилось на домашнем компьютере.
Если разрешите, ещё вопрос: - это нужно для того, чтобы выслать файлы из карантина на анализ или таким образом производится лечение?[/quote]
вы проницательны:)
Сначала врач должен посмотреть результаты анализов, а потом уже давать рекомендации к лечению организма , а также всем остальным путём выпуска нового лекарства :)
@Drongo Думаю, последнюю фразу надо вставить в шаблон письма. :)
[quote=drongo;106012]вы проницательны:)
Сначала врач должен посмотреть результаты анализов, а потом уже давать рекомендации к лечению организма , а также всем остальным путём выпуска нового лекарства :)[/quote]
Да, действительно, Вы правы, что-то я сглупил.:embarasse
Если позволите, я дополню картину теперешней ситуации: при загрузке в безопасном режиме, экран становится чёрным с надписями по углам "безопасный режим", но есть возможность по Ctrl+Alt+Del вызывать диспетчер задач, и соответственно, командную строку. Попытки восстановить (потому как оказалась уничтоженной) ветку реестра CurrentControlSet с помощью AVZ (восстановление системы) или импортом скореектированной CurrentControlSet001, не привели к "оживлению" экрана в безопасном режиме. Это я пишу на случай того, что если придётся выполнять какие-то действия в безопасном режиме, достаточно ли будет командной строки?
Если в нормальном не грузиться,
можно авз запускать и в безопасном режиме.по Ctrl+Alt+Del вызывать диспетчер задач, новая задача, найти путь к авз и запустить .
[B]логи надо делать в нормальном режиме, как сказано в правилах, а то многих зверей не увидим. [/B]
[quote=drongo;106044]Если в нормальном не грузиться,
можно авз запускать и в безопасном режиме.по Ctrl+Alt+Del вызывать диспетчер задач, новая задача, найти путь к авз и запустить .
[B]логи надо делать в нормальном режиме, как сказано в правилах, а то многих зверей не увидим. [/B][/quote]
Логи я делал в обычном(нормальном) режиме, в безопасном я пытался запустить поиск/лечение КАВ-ом и пробовал прибить зловредные dll-ки.
Добрый вечер!
Карантин по ссылке загрузил, с нетерпением буду ждать результатов обследования.
С уважением.
Из того, что прислали: C:\WINDOWS\system32\CD_Load.exe - a variant of Win32/Adware.Cydoor (по Nod32)
C:\WINDOWS\system32\mlljj.dll - Trojan.Virtumod (по DrWeb)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
QuarantineFile('C:\WINDOWS\system32\COMPT.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-117609710-583907252-725345543-1003\Dc153.dll');
DeleteFile('C:\WINDOWS\system32\CD_Load.exe');
DeleteFile('C:\WINDOWS\system32\mlljj.dll');
DeleteFile('byxvtts.dll');
DeleteFile('wintuh32.dll');
DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
ExecuteSysClean;
BC_Importall;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ и сделайте, пожалуйста, новые логи.
Всё понял, действую.
Закачал карантин, сделанный сразу после выполнения Вашего скрипта - файл "virus_1". Затем закачал карантин, сделанный после стандартного скрипта "лечения/карантина и сбора..."- это файл "virus".
Логи прикладываю.
Странно, живучие однако.Или вы те же логи загрузили ?
в общем отключиться от инета , отключить антивирус , выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('c:\windows\system32\tlntsvr.exe','');
QuarantineFile('C:\WINDOWS\system32\habuwoow.dll','');
BC_DeleteFile('C:\WINDOWS\system32\mlljj.dll');
BC_DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
после перегрузки включить антивирус и сделать новые логи.
Пришлите , то что попадёт на сей раз в карантин .
[quote=drongo;106177]Странно, живучие однако.Или вы те же логи загрузили ?
в общем отключиться от инета , отключить антивирус , выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tlntsvr.exe','');
QuarantineFile('C:\WINDOWS\system32\habuwoow.dll','');
QuarantineFile('C:\WINDOWS\system32\mlljj.dll','');
BC_DeleteFile('C:\WINDOWS\system32\mlljj.dll');
BC_DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
после перегрузки включить антивирус и сделать новые логи.[/quote]
Нет-нет, всё сделал заново.
Понял, приступаю. Но результаты выложу, наверное, увы, только завтра, т.е. сегодня утром.
P.S. Приятно удивлён, что Вы появились на форуме в столь позднее время.
[QUOTE]P.S. Приятно удивлён, что Вы появились на форуме в столь позднее время.[/QUOTE]Форум работает круглосуточно ;) Открою не большой секрет. Далеко не все консультанты живут в Росии. Следовательно из-за разницы в часовых поясах и большим количеством консультантов, в любое время суток кто-то на форуме бывает.
[quote=MaXim;106192]Форум работает круглосуточно ;) Открою не большой секрет. Далеко не все консультанты живут в Росии. Следовательно из-за разницы в часовых поясах и большим количеством консультантов, в любое время суток кто-то на форуме бывает.[/quote]
Приветствую, MaXim!
Именно различие во времени я и имел ввиду, зная, который сейчас час там, откуда drongo...
Я выполнил скрипты, прилагаю логи и выкладываю карантин.
В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строчки:[code]O2 - BHO: (no name) - {0309638F-93F8-44D3-84CF-240EB1AB7F1F} - C:\WINDOWS\system32\byxvtts.dll (file missing)
O2 - BHO: (no name) - {AEED6683-7203-41B2-A9D1-09A3BDF73DF5} - C:\WINDOWS\system32\mlljj.dll (file missing)
O20 - Winlogon Notify: byxvtts - C:\WINDOWS\
O20 - Winlogon Notify: mlljj - C:\WINDOWS\system32\mlljj.dll (file missing)
O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\[/code] Далее, "Пуск" - "настройка"-"панель управления" - "администрирование" - "службы" - найдите службу Telnet, если запущена - остановите, "тип запуска" поставьте - "отключена". Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\habuwoow.dll');
QuarantineFile('C:\Program Files\UltraISO\isoshell.dll','');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ и сделайте логи, начиная с п.10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
C:\WINDOWS\system32\habuwoow.dll - Trojan.Virtumod(по DrWeb). Практически все, что сегодня насобирали, DrWeb детектит, так что, думаю, хорошо бы, в дополнение, скачать [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt![/URL] и проверить систему, загрузившись в [URL="http://virusinfo.info/showthread.php?t=9279"]безопасном режиме[/URL]
Доброе утро!
[quote=Numb;106199]В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строчки:[code]O2 - BHO: (no name) - {0309638F-93F8-44D3-84CF-240EB1AB7F1F} - C:\WINDOWS\system32\byxvtts.dll (file missing)
O2 - BHO: (no name) - {AEED6683-7203-41B2-A9D1-09A3BDF73DF5} - C:\WINDOWS\system32\mlljj.dll (file missing)
O20 - Winlogon Notify: byxvtts - C:\WINDOWS\
O20 - Winlogon Notify: mlljj - C:\WINDOWS\system32\mlljj.dll (file missing)
O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\[/code] Далее, "Пуск" - "настройка"-"панель управления" - "администрирование" - "службы" - найдите службу Telnet, если запущена - остановите, "тип запуска" поставьте - "отключена". Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\habuwoow.dll');
QuarantineFile('C:\Program Files\UltraISO\isoshell.dll','');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ и сделайте логи, начиная с п.10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL][/quote]
Обязательно сделаю, но теперь только вечером.
Спасибо.
С уважением.
Добрый вечер!
Выкладываю логи и карантин. В последнем что-то не то с датой и временем создания одного из файлов, но почему так получилось- затрудняюсь сказать. Не знаю, драматично ли неправильно я поступил, запустив в промежутках между созданием логов КАВа, но он при этом обнаружил 3 новых .длл, идентифицировав их как Virtumonde.
Жду дальнейших указаний.