Помогите с троянами
Printable View
Помогите с троянами
virusinfo_cure.zip - уберите из темы это карантин
выполните скрипт
[code]
begin
QuarantineFile('C:\WINDOWS\Temp\~00754.tmp','');
QuarantineFile('c:\DriverLoad\windrv0.exe','');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил... повторите логи...
карантин загрузился?
да , но ничего не попало в карантин, повторите логи....
Вот логи ещё раз. Сейчас загружу новый карантин. Там есть 2 файла.
virusinfo_cure.zip - это карантин его прикреплять нельзя ... нужен virusinfo_syscure.zip ...
сорри.
у меня нет такого файла. И в прошлый раз не было. Наверно поэтому я не то прикрепил.
пофиксите ..
[code]
O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\WINDOWS\Temp\~00754.tmp (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\Temp\~00754.tmp (file missing)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\DriverLoad\windrv0.exe
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('c:\DriverLoad\windrv0.exe');
DeleteFile('C:\WINDOWS\Temp\~00754.tmp');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи...
При выполнении скрипта вылезает ошибка Failed to set data for 'DisplayName'
попробуйте выполнить в Safe Mode ....
Только что выполнил первый из нужных стандартных скриптов. По-прежнему нет файла virusinfo_syscure.zip. В прцессе работы на шаге 1 появляетяс строка Ошибка в работе антируткита Access violation. Возможно из-за этого и не появляется файл. Щас перегружусь и выложу лог
Вот что получилось
Попробовать AVZPM поставить в AVZ и сделать ещё раз логи.
Уверен, что под админом делается ?
точно под админом. Проверил это ещё раз.
AVZPM поставил, перегрузился. В начале выполнения первого скрипта опять появилась ошибка в работе антируткита [Range check error], шаг [11] Не уверен, что будет лог
Скорее не будет ;(
очень странно, 2 пункт правил выполнить и сделать лучше такой лог : [url]http://virusinfo.info/showthread.php?t=10387[/url]
действиетельно нет файла virusinfo_syscure.zip
Никто не спрашивал, но в начале очень много функций перехватывается из файлов kernel32.dll, ntdll.dll и user32.dll
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
лог делать в обычном или безопасном режиме?
[quote=zock;138765]
лог делать в обычном или безопасном режиме?[/quote]разницы нет, так как драйвер AVZ всё равно не работает.
ну и задали работку. проверено 20%. Завтра к вечеру наверно cureit закончит. Хотя с радостью нашел 2 вируса в карантине AVZ.
при создании логов я закрывал NOD32. Но его ядро оставалось в памяти, так как оно грузится как служба. Это может влиять?
[QUOTE=drongo;138764]Скорее не будет ;(
очень странно, 2 пункт правил выполнить и сделать лучше такой лог : [url]http://virusinfo.info/showthread.php?t=10387[/url][/QUOTE]
очень бы хотелось увидеть ...
кстати, некоторое время назад мне пришлось отключить монитор NOD, так как при его включении винда вываливалась в синий экран или перегружалась. Очевидно NOD пытался зарегистрировать себя при перехвате некоторых функций, конфликтовал с вирусом и в синий экран.
Лог будет завтра. CureIT в карантине нашёл Trojan.NtRootkit.321 и BackDoor.Bulknet