Printable View
Здравствуйте! На компьютере куча всяких троянов: Haxdoor, BackDoor, Downloader и т.д. Решил выполнить скрипт (№3) обычном режиме, чтобы Вас выслать. Но, как только начинается проверка дисков, появляется синий "экран смерти". Когда я выполняю тот же скрипт в Safe Mode, он выполняется, выдавая кучу разных вирусов. Не подскажете, что можно сделать, чтобы я мог выполнить скрипт в обычном режиме?
А Cureit`ом полную проверку делали?
нет, только экспресс, сейчас сделаю :-)
Сделал я полную проверку CureIt'ом. AVZ смог выполнять скрипты в обычном режиме. Но вот сама система в обычном режиме ужасно тормозит. Ещё начала выскакивать ошибка приложения Winlogo.exe. Нажимаю Ok - перезагрузка, нажимаю Отмена - синий "экран смерти". В безопасном режиме с загрузкой сетевых драйверов та же ошибка выскакивает. А вот в просто безопасном режиме такой ошибки нет. А ни на одну из этих кнопок не нажимаю, то компьютер продолжает работу. :-) Посмотрите, пожалуйста, логи.
ой, ошибка приложения winlogon.exe, не дописал, прошу прощения
Выплните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\kernel .exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ytua47.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\wualcskw.sys','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat','');
QuarantineFile('C:\WINDOWS\system32\tmpf00.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\dsaut.dll','');
QuarantineFile('C:\Temp\sch16.dll','');
QuarantineFile('C:\Temp\doldbal.dll','');
DeleteFile('C:\Temp\doldbal.dll');
DeleteFile('C:\Temp\sch16.dll');
DeleteFile('C:\WINDOWS\system32\dsaut.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\tmpf00.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Ytua47.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\kernel .exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
[size="1"][color="#666686"][B][I]Добавлено через 46 секунд[/I][/B][/color][/size]
После перезагрузки пришлите карантин по правилам и сделайте новые логи.
пофиксите ...
[code]
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\kernel2.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Program Files\WinAble\winable.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('Ytua47.sys','');
QuarantineFile('wualcskw.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\eunfmquh.dat','');
QuarantineFile('C:\WINDOWS\system32\dsaut.dll','');
QuarantineFile('C:\WINDOWS\system32\tmpf00.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\Temp\sch16.dll','');
QuarantineFile('C:\Temp\doldbal.dll','');
QuarantineFile('c:\windows\system32\tmpf00.exe','');
DeleteFile('c:\windows\system32\tmpf00.exe');
DeleteFile('C:\Temp\doldbal.dll');
DeleteFile('C:\Temp\sch16.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\tmpf00.exe');
DeleteFile('\??\C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('\??\C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('Ytua47.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\Program Files\WinAble\winable.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('C:\WINDOWS\kernel%32.exe');
DeleteFile('C:\WINDOWS\kernel .exe');
DeleteFile('c:\windows\system32\klogini.dll');
DeleteFile('c:\windows\system32\fltr.a3d');
DeleteFile('c:\windows\system32\i.a3d');
DeleteFile('c:\windows\system32\p2.ini');
DeleteFile('c:\windows\system32\redir.a3d');
DeleteFile('c:\windows\system32\tnfl.a3d');
DeleteFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat');
DeleteFile('ovrscn.dll');
DeleteFile('wualcskw.sys');
DelWinlogonNotifyByFileName('ovrscn.dll ');
BC_DeleteSvc('Ytua47');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
.... опередили чуть ... ну думаю стоит выполнить оба скрипта по очереди ... для надежности так сказать ...
сейчас сделаю :-) Спасибо!
Здравствуйте! Я сейчас закачал карантин. Сейчас выполню логи!:-)
Не получилось у меня выполнить скрипты в обычном режиме. Поэтому выполнил указания для сбора информации в "Безопасном режиме". Вот выкладываю получившийся файл.
1 вы скрипты выполняли ?
2 нужно присылать HTM файлы ...
выполнял, конечно, так я же и прислал HTM файл, разве нет?:-(
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
правда, выполнял я их в безопасном режиме, потому что а обычном он не грузился
1 скрипт из сообщения 7 ?
2 ві прислали XML файл....
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ytua47','Start');
RebootWindows(true);
end.
[/code]
а затем скрипты из сообщений 6 и7 .... затем сделайте дополнительный лог ...
я имею в виду, что скрипты не выполнял
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
да, я оба скрипта выполнил и пофиксил.
а вот за неправильный формат файла извините, пожалуйста, не уследил.
сейчас выполню скрипт.
вот выполнил скрипты. Но логи в обычном режиме, всё равно, не выполняются - виснет компьютер. Так что провёл исследование системы. Посмотрите, пожалуйста, получившийся лог.
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('system32\DRIVERS\tcpip.sys','');
QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('\SystemRoot\system32\drivers\wualcskw.dat','');
QuarantineFile('Hbeisrpntmo.sys','');
QuarantineFile('wualcskw.dat','');
DeleteFile('System32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
сейчас сделаю!:-)
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
лог выполнил, карантин закачал. Жду дальнейших указаний!:-)
[size="1"][color="#666686"][B][I]Добавлено через 38 секунд[/I][/B][/color][/size]
то есть скрипт выполнил, прошу прощения
Забавно: вместо wualcskw.dat закарантинился wualcskw.sys - [b]Rootkit.Win32.Agent.lj[/b]
Выполните скрипт:
[code]
begin
BC_DeleteSvc('anruzcup');
BC_DeleteFile('C:\Windows\system32\drivers\wualcskw.dat');
BC_DeleteFile('C:\Windows\system32\drivers\wualcskw.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После этого попробуйте сделать стандартные логи + дополнительный.
сейчас выполню. Попробую сделать!
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
нет, не хочет выполнять стандартный скрипты - "висит". Причём, мне кажется, что всё это из-за ошибки приложения winlogon.exe, которую постоянно выдаёт при загрузке Windows.
Попробуйте дополнительный лог сделать в нормальном режиме.