[B][COLOR="Red"]База поcледний раз обновлялась 06.04.2008[/COLOR][/B]
Printable View
[B][COLOR="Red"]База поcледний раз обновлялась 06.04.2008[/COLOR][/B]
Обновил, сейчас попробую. И пришлю логи по правилам.
Обновил базы.Выполнил скрипт. Hijack как не фиксил так и не фиксит. Высылаю логи.
Попробуем удалить так:
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\26346810.sys','');
QuarantineFile('C:\WINDOWS\system32\xprslib.dll','');
QuarantineFile('C:\WINDOWS\system32\uxtheme.dll','');
QuarantineFile('C:\WINDOWS\system32\gfimntr.dll','');
DeleteFile('c:\windows\system32\twunk_16.exe');
DeleteFile('C:\WINDOWS\system32\twain16.dll');
DeleteFile('C:\WINDOWS\system32\twunk_16.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
DeleteFile('C:\WINDOWS\system32\drivers\26346810.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
DelBHO('CAEF67AA-2E7F-444C-A7D6-E552DEF460DE');
DeleteFileMask('C:\WINDOWS\SYSTEM32\MsDts', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('is-UM42Cdrv');
BC_DeleteSvc('clever');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=26814[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Очередной раз выполнил скрипт. Отправил карантин и высылаю логи. Hijack попрежнему не фиксит проблеммы
[quote=Максут;258653]проблемы не фиксятся. Продолжает выдавать такое же сообщение[/quote]
Попробуем более мощный скрипт:
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\windows\system32\twunk_16.exe');
DelBHO('{CAEF67AA-2E7F-444C-A7D6-E552DEF460DE}');
QuarantineFile('C:\WINDOWS\system32\drivers\26346810.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\twunk_16.exe','');
QuarantineFile('c:\windows\system32\twunk_16.exe','');
QuarantineFile('C:\WINDOWS\system32\twain16.dll','');
DeleteFile('C:\WINDOWS\system32\twain16.dll');
BC_DeleteFile('C:\WINDOWS\system32\twain16.dll');
BC_DeleteFile('c:\windows\system32\twunk_16.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\twunk_16.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\clever.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\MsDts\TWAIN16.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
DeleteFile('c:\windows\system32\twunk_16.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Все вселал. Вот логи. Проблеммы так и не фиксятся.
Последняя попытка:
Пуск/Выполнить... наберите [B]msconfig[/B] + клавиша Ввод. Карточка Автозапуск, Все отключить, Карточка Службы - Все Виндовс-Службы не показывать, все остальные - отключить. Перегрузитесь. Переименуйте hijackthis.exe в 123.pif. Попробуйте пофиксить и выполнить скрипт Олега Зайцева.
Если не поможет - придется переустановить систему.
Не надо переустанавливать - мы его сигнатурно задавим, вышеприведенные скрипты не стоит больше применять - видно, не помогают.
Есть возможность подключить зараженный жесткий диск к чистому компьютеру?
Еще на всякий случай проверим кое-что, выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Firewall Client 2004\FwcWsp.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\vde5odu0.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин.
[B]Важные вопросы[/B]
1) У Вас антивирус Симантек ловил что-то с формулировкой "Trojan Horse", когда Вы выполняли скрипты в AVZ ?
2) Вы отключали антивирус перед выполнением скриптов?
Дело в том, что, похоже, Симантек удалял драйвер AVZ.
[QUOTE=kps;259037]
Еще на всякий случай проверим один файлик[/QUOTE]Он отсюда: [url]http://www.castlecops.com/lsp-159.html[/url]
Я знаю, что от Microsoft такой есть, он просто по базе безопасных не прошел.
Да, возможность подключить жесткий диск к другому чистому компьютеру есть.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
И по поводу удаления. Симантек ничего вообще не находил. Он отключен на время работы по устранению данной проблемы. Фаервол наш, проверенный, это не вирус. Он так же отключен.
Тогда делайте так: Скачайте свежий CureIt! (ссылка в пункте 2 правил) на чистом компьютере. Потом возьмите зараженный жесткий диск и подключите его к этому чистому компьютеру. Запустите CureIt! и сделайте полную проверку зараженного жесткого диска. Найденное лечите и удаляйте. Если будут подозрения типа "Muldrop.Trojan" - тоже удаляйте.
Надо еще удалить папку [B]MsDts[/B], которая лежит здесь WINDOWS\SYSTEM32\
Сейчас попробую.
Ну вот, скачал, просканил, все что мог, все удалил. Но записи в реестре все равно остались. И Hijack попрежнему не фиксит проблемы. Я так понимаю проблемы мне придется чистить в ручную? :(
Вроде все прошло успешно.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Почистим реестр:
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('clever');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\clever.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\twunk_16.exe');
DeleteFile('C:\WINDOWS\system32\twain16.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('clever');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Все сделал. Посмотрел лог Hijack`a. Попробовал профиксить один пункт, где был еще этот twunk_16. Все нормально пофиксилось. Вот логи
А это тоже пофиксилось?
[CODE]O4 - HKUS\S-1-5-21-299502267-413027322-839522115-5130\..\Run: [MS Windows State Monitor] C:\WINDOWS\SYSTEM32\twunk_16.exe (User 'Балашов')
[/CODE]
Если Да, то отошлите kps 3 ящика пива ;)
Да. Сейчас по моему все чисто. Спасибо