Printable View
Уважаемые, здравствуйте!
Компьютер стал как-то особенно задумчив, интернет - заторможен.
На всякий случай проверился Cureit-ом - он накосил более 40 файлов с вирусами...
День работал спокойно, к вечеру следующего - та же картинка, только теперь компьютер еще и приноровился сам чего-то таскать из интернета, без всякой на то видимой причины.
В обычном режиме avz, увы, не запускается, потому логи снимаю в безопасном.
Прошу помощи.
пофиксите...
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
QuarantineFile('Scmn41.sys','');
DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_DeleteSvc('ICF');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
после перезагрузки еще один...
[code]
begin
ExecuteRepair(11);
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Пришлите ещё как написано в правилах файл
[b]c:\windows\system32\winlogon.exe[/b]
Готово.
winlogon в архиве с паролем [B]virus.[/B]
P.S.: avz начал запускаться в обычном режиме :)
не вижу ни карантина после скрипта не winlogon ....
отправлять по ссылке...
[url]http://virusinfo.info/upload_virus.php?tid=12401[/url]
Залил еще раз, получил два подтверждения вида:
[B][SIZE=2]Результат загрузки[/SIZE][/B]
Файл сохранён как070912_134919_virus_46e834af19ece.zipРазмер файла468286MD5e9ba885aa1719759755ddb93a7981a37[B][SIZE=2]Файл закачан, спасибо![/SIZE][/B]
[LEFT]P.S.: avz загружаться в обычном режиме перестал.
Полтергейст?![/LEFT]
[QUOTE=SMajor;133923]Готово.
winlogon в архиве с паролем [B]virus.[/B]
[/QUOTE]
Чистый, вернее полеченный антивирусом, поэтому контролька не верная. Можно оставить так, хотя лучше заменить на оригинальный из дистрибутива Windows.
Повторите ещё раз логи.
Отправляю логи.
avz упрямо не запускается.
А как обойти защиту, чтобы заменить winlogon?
Ни в защищенном режиме, ни в обычном, не получается - ОС защищает себя...
нужен дистрибутив на диске ....
пуск-выполнить-cmd
expand D:\i386\winlogon.ex_ C:\windows\system32\winlogon.exe
вместо D:\ - может быть другая буква...(соответствующая СD)
[QUOTE]avz упрямо не запускается.[/QUOTE]
Переименуйте avz.exe в a1.exe и попробуйте снять логи в обычном режиме!
[B]V_Bond[/B]
Заменилась!
А поясните, плз, в чем загвоздка: сегодня с утра тренировался - ну никак не получалось! Или дело в сейчас отключенном восстановлении?
[B]XL [/B]
Запустилась :)
Вы там факиры, что-ли? :)
Логи прилагаю.
Машинка вроде оживает.
Вот только активность в канале в интернет - неуправляемая, подскажите, плз: это как-то лечится?
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys','');
QuarantineFile('C:\WINDOWS\spooldr.exe','');
DeleteFile('C:\WINDOWS\spooldr.exe');
DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
Готово:
Результат загрузки
Файл сохранён как 070912_160916_virus_46e8557c2c970.zip
Размер файла 151991
MD5 8cd7c6fea854bd0a1b5ca7cff8a73259
Файл закачан, спасибо!
Вот что любопытно: даже при выключенном компьютере лампочка на модеме моргает. Это значит, скорее всего, что инициируется соединение снаружи.
Хакеры?
\SystemRoot\system32\DRIVERS\tcpip.sys найдите и пришлите с паролем , как написано в правилах ...
повторите логи...
Готово.
Файл загружен:
[B][SIZE=2]Результат загрузки[/SIZE][/B]
Файл сохранён как070912_170622_virus_46e862de0e5cc.zipРазмер файла206858MD501aa185c71c2e8e22923e5cf03330289
логи в аттаче.
Первый лог (скрипт 3) получен в защищенном режиме, в обычном снять не удалось - три попытки привели к синему экрану. Скрипт 2 avz и лог hijackthis сняты в обычном режиме.
[B]tcpip.sys[/B] - [COLOR="Blue"]Trojan.Win32.Patched.ao [/COLOR](по Касперскому)
Его нужно заменить
пуск-выполнить-cmd
expand X:\i386\tcpip.sy_ Y:\windows\system32\tcpip.sys
где X - вашего CD,а Y - буква локального диска на котором установлена система.
Пофиксите с помощью HijackThis :
[CODE]O20 - Winlogon Notify: botreg - C:\WINDOWS\[/CODE]
И повторите логи,думая теперь с этим не будет проблем ;)
PS.поищите файл [B]Scmn41.sys[/B] и пришлите его по правилам.
Заменил, только путь, наверное, должен быть немного другой: c:\windows\system32\[B]drivers[/B]\tcpip.sys ?
Запуск скрипта 3 снова привело ОС к синему экрану, потому скрипт выполнен в защищенном режиме.
Логи прилагаю.
Файл [B]Scmn41.sys[/B] найти не могу... :embarasse
Где он может прятаться?
[QUOTE=SMajor;134014]Заменил, только путь, наверное, должен быть немного другой: c:\windows\system32\[B]drivers[/B]\tcpip.sys ?
[/QUOTE]
все верно...
сделайте еще один лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
Готово.
Не открывается лог. Что-то Вы там намудрили.