Printable View
Здравствуйте, друзья! Снова обращаюсь к Вам за помощью...Посмотрите пожалуйста на мои логи (логи АВЗ пришлось делать в безопасном режиме, так как в нормальном выкидает ошибку) - можно ли что то сделать еще с машинкой, а то творится чёрт знает что с ней...то мало виртуальной памяти, то в перезагрузку сам идет...АВЗ много чего нашел...
Помогите пожалуйста...
Опять набор дерьма, да простят меня модеры.
Базы AVZ надо обновлять. :(
Скрипты сейчас будут.
Офф:Просто для интереса. Это все время один и тот же компьютер или разные.
Вот - вот...что дерьма то дерьма...базы уже обновил...извините если что не так...
[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]
[quote=PavelA;153309]Опять набор дерьма, да простят меня модеры.
Базы AVZ надо обновлять. :(
Скрипты сейчас будут.
Офф:Просто для интереса. Это все время один и тот же компьютер или разные.[/quote]
Нет...это все разные...и их много...и время от времени приходится обращаться к Вам за помощью...
Пофиксите с помощью hijackthis строки:
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ldr.exe,C:\WINDOWS\system32\makehm.exe,
O2 - BHO: Her - {2A7102DE-1F71-4146-86FD-A722E8AB3489} - C:\WINDOWS\system32\procins.dll
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [noskrnl] C:\WINDOWS\noskrnl.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_1.dll[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ldr.exe','');
QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
QuarantineFile('C:\WINDOWS\system32\procins.dll','');
QuarantineFile('C:\WINDOWS\noskrnl.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\tmp_1.dll','');
BC_DeleteFile('C:\WINDOWS\system32\tmp_1.dll');
BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_DeleteFile('C:\WINDOWS\noskrnl.exe');
BC_DeleteFile('C:\WINDOWS\system32\procins.dll');
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_DeleteFile('C:\WINDOWS\system32\ldr.exe');
BC_DeleteFile('C:\WINDOWS\system32\makehm.exe');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\winlogon.exe');
bc_deletesvc('protect');
bc_deletesvc('msupdate');
bc_deletesvc('FCI');
bc_importquarantinelist;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=14514[/url] , как написано в прил. 3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url], и сделайте новые логи, начиная с п. 10 правил.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
В дополнение: большая часть этой заразы должна уходить при выполнении п.2 правил - лечении cureit!-ом. Перед тем, как делать логи с остальных машин, запустите на них полную проверку cureit!, желательно, [url=http://virusinfo.info/showthread.php?t=9279]загрузившись в безопасном режиме[/url].
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Внимание! при старте, cureit! предлагает выполнить экспресс-проверку системы, по окончании которой вам нужно самостоятельно отметить пункт "Полная проверка" и нажать кнопку "Выполнить"
Сделал всё как Вы написали...Высылаю логи и карантин. Посмотрите пожалуйста что там и как...
P.S. У меня есть лицензионный доктор Веб...но что то хреновый он доктор...или заразы слишком заразные, что он с ними не справляется, а если и справляется то зачастую система отказывается грузиться после этого, вот и приходиться обращаться к Вам за помощью...
Дохтур у Вас обновленный стоит, в смысле 4.44.
Почистить временные файлы Инета. Есть в форуме ссылка на ccleaner portable. Не инсталлируется, но чистит мусор хорошо.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tmp_1.dll','');
DeleteFile('C:\WINDOWS\system32\tmp_1.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ntosnh.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
[QUOTE=PADRE;153351]Сделал всё как Вы написали...Высылаю логи и карантин. [/QUOTE]
То что прислано:
[SIZE="1"][code] Scan taken on 23 Nov 2007 10:53:51 (GMT)
A-Squared Found nothing
AntiVir Found RKIT/Agent.JJ, TR/Dropper.Gen, TR/Crypt.XPACK.Gen, TR/Dldr.Small.cyn, TR/Spy.ZBot.CT.1, WORM/Zhelatin.Gen
ArcaVir Found Worm.Zhelatin.Mx
Avast Found Win32:Trojan-gen {Other}, Win32:Nulprot-B, Win32:Small-DQT
AVG Antivirus Found nothing
BitDefender Found Win32.Mydoom.ABS, Win32.Nulprot.C, Trojan.Downloader.Small.AAFM, Trojan.Peed.IOF
ClamAV Found Trojan.Agent-7550
CPsecure Found nothing
Dr.Web Found Trojan.NtRootKit.429, Trojan.Spabot, Trojan.Spambot.2496, Trojan.DownLoader.14310, Trojan.DownLoader.36216, Trojan.BhoSpy, Trojan.Packed.221
F-Prot Antivirus Found unknown virus (probable variant)
F-Secure Anti-Virus Found Rootkit.Win32.Agent.jj, Trojan-Proxy.Win32.Agent.rz, Trojan-Downloader.Win32.Small.cyn, Trojan-Downloader.Win32.Small.grm, Trojan-Spy.Win32.Zbot.ct, Email-Worm.Win32.Zhelatin.mx
Fortinet Found W32/Agent.NAJ!tr
Ikarus Found Rootkit.Win32.Agent.jj, Trojan-Proxy.Win32.Agent.nu, Trojan-Downloader.Win32.Small.cyn, Trojan-Downloader.Win32.Small.grm, Trojan-Spy.Finanz.J, Packed.Win32.Tibs.dr
Kaspersky Anti-Virus Found Rootkit.Win32.Agent.jj, Trojan-Proxy.Win32.Agent.rz, Trojan-Downloader.Win32.Small.cyn, Trojan-Downloader.Win32.Small.grm, Trojan-Spy.Win32.Zbot.ct, Email-Worm.Win32.Zhelatin.mx
NOD32 Found Win32/SpamTool.Agent.NAJ, Win32/Nulprot.A, Win32/TrojanDownloader.Small.CYN, Win32/TrojanDownloader.Small.NYO, Win32/Fuclip
Norman Virus Control Found W32/Rootkit.ASN, W32/DLoader.gen5, W32/Tibs.BCNS
Panda Antivirus Found Rootkit/Agent.GJE, W32/Mailbot.EK.worm, Trj/Downloader.LFO
Rising Antivirus Found Trojan.DL.Win32.Small.vkr, RootKit.Win32.Agent.jj
Sophos Antivirus Found Mal/Generic-A, Troj/Dldr-D, Mal/Dorf-F
VirusBuster Found Trojan.DL.Small.Gen.22
VBA32 Found Trojan.Win32.SpamTool.Agent.NAJ, Trojan-PSW.Pinch.35 (paranoid heuristics) (probable variant) [/code][/SIZE]
в онлайне:
[QUOTE=KAV]Проверенный файл: 2007-11-23.zip - Инфицирован
2007-11-23.zip/avz00009 (1).#ta - инфицирован Rootkit.Win32.Agent.jj
2007-11-23.zip/avz00010 (1).#ta - инфицирован Trojan-Proxy.Win32.Agent.rz
2007-11-23.zip/avz00001 (1).#ta - в порядке
2007-11-23.zip/avz00002 (1).#ta - инфицирован Trojan-Downloader.Win32.Small.cyn
2007-11-23.zip/avz00003 (1).#ta - в порядке
2007-11-23.zip/avz00005 (1).#ta - в порядке
2007-11-23.zip/avz00006 (1).#ta - инфицирован Trojan-Downloader.Win32.Small.grm
2007-11-23.zip/avz00007 (1).#ta - инфицирован Trojan-Spy.Win32.Zbot.ct
2007-11-23.zip/avz00008 (1).#ta - инфицирован Email-Worm.Win32.Zhelatin.mx [/QUOTE]+ avz00001.dta, avz00003.dta, avz00005.dta - Trojan-Proxy.Win32.Agent.sf
Детектирование файлов будет добавлено в следующее обновление.[QUOTE=Drweb]2007-11-23.zip - archive ZIP
В файле >2007-11-23.zip/avz00009 (1).#ta обнаружен вирус Trojan.NtRootKit.429
В файле >2007-11-23.zip/avz00010 (1).#ta обнаружен вирус Trojan.Spabot
В файле >2007-11-23.zip/avz00001 (1).#ta обнаружен вирус Trojan.Spambot.2496
В файле >2007-11-23.zip/avz00002 (1).#ta обнаружен вирус Trojan.DownLoader.14310
В файле >2007-11-23.zip/avz00003 (1).#ta обнаружен вирус Trojan.Spambot.2496
В файле >2007-11-23.zip/avz00005 (1).#ta обнаружен вирус Trojan.Spambot.2496
В файле >2007-11-23.zip/avz00006 (1).#ta обнаружен вирус Trojan.DownLoader.36216
>2007-11-23.zip/avz00007 (1).#ta packed by UPX
В файле >>2007-11-23.zip/avz00007 (1).#ta обнаружен вирус Trojan.BhoSpy
В файле >2007-11-23.zip/avz00008 (1).#ta обнаружен вирус Trojan.Packed.221[/QUOTE]
У любого антивируса есть свои плюсы и минусы, но в большинстве случаев всё зависит от пользователя ;-)
итог по первому карантину:
Trojan.Adclicker - 'C:\WINDOWS\system32\procins.dll' по Симантеку.
Email-Worm.Win32.Zhelatin.mx - 'C:\WINDOWS\noskrnl.exe' по Касперскому.
Желатин это плохо. Все-таки надо свежим Куре-итом проверяться.
[quote]P.S. У меня есть лицензионный доктор Веб...но что то хреновый он доктор...или заразы слишком заразные, что он с ними не справляется, а если и справляется то зачастую система отказывается грузиться после этого[/quote]
А поподробнее можно? Что лечилось и как. Вы лечили или просто удаляли все подряд?
Это для нас важно, потому как ссылка на CureIt в Правилах.
[quote=AndreyKa;153386]А поподробнее можно? Что лечилось и как. Вы лечили или просто удаляли все подряд?
Это для нас важно, потому как ссылка на CureIt в Правилах.[/quote]
Ну не буду лгать - CureIt-ом я не пробовал...честно говоря имея лицензию на антивирус (фактически CureIt - это же насколько я правильно понимаю творение рук того же Данилова, токо бесплатное) думаю что сам доктор не должен быть хуже этой утилиты...Или я не прав? Хотя АВЗ мне честно говоря понравилась...хоть и бесплатная...А как я лечюсь - веб сканирует систему, на вопрос лечить - отвечаю да...это если вирус в памяти сидит или в процессах (если я правильно выражаюсь).Обычно он их попросту удаляет (т.е. зараженные файлы), иногда говорит что лечение невозможно и спрашивает про удаление (но это бывает редко). А когда просто проверяю к примеру диск С и веб находит какую то заразу, то я ВСЕГДА пытаюсь лечить. А сколько раз после лечения машинки и после рестарта система не грузилась...варианты - черный экран вместо рабочего стола, синий экран, "не удалось найти файл такой то..." Да, млин, я бы книгу наверное небольшую мог бы написать, если б я записывал всю ту гадость, что мне попадалась. Но к сожалению я просто не помню тех вирусов, после которых мне приходилось переустанавливать винду, а такое было скажу честно не один раз...и благодаря доктору конечно...Сейчас я записую что он удаляет...Потом ведь, ежели чего, я могу подключить винч к другому компу и попробовать скопировать удаленные файлы (бывало и такое). Вот решил найти хоть какой то выход и слава богу что нашел вас, ребята...хоть кто то может помочь в чём то...
Ну а в докторе я откровенно говоря разочаровался...
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
[quote=PavelA;153360]Дохтур у Вас обновленный стоит, в смысле 4.44.
Почистить временные файлы Инета. Есть в форуме ссылка на ccleaner portable. Не инсталлируется, но чистит мусор хорошо.
Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tmp_1.dll','');
DeleteFile('C:\WINDOWS\system32\tmp_1.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ntosnh.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделать новые логи.[/quote]
Как только смогу сесть за зараженный комп - сразу сделаю что Вы написали и пришлю логи...Доктур у меня 4.33, но обновляю постоянно через нет, прямо с сервера ихнего.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=PavelA;153373]итог по первому карантину:
Trojan.Adclicker - 'C:\WINDOWS\system32\procins.dll' по Симантеку.
Email-Worm.Win32.Zhelatin.mx - 'C:\WINDOWS\noskrnl.exe' по Касперскому.
Желатин это плохо. Все-таки надо свежим Куре-итом проверяться.[/quote]
Скажите пожалуйста - чем страшен этот Желатин...что он творит...или вернее мне уже натворил.
[QUOTE=PADRE;153544]Доктур у меня 4.33[/QUOTE]
Потому и не справляется. Потому и рекомендуется CureIt, что он на базе новой версии и умеет гонять руткитов. И делает это хорошо.
А Доктора надо обновить. Руками, поскольку автоматического перехода с 4.33 на 4.44 не будет.
Выполнил скрипт, высылаю логи...посмотрите пожалуйста что там и как...но по моему остались еще заразки...
В карантин попал файл C:\WINDOWS\system32\drivers\asc3550o.sys - пришлите его по правилам. Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('asc3550o');
BC_DeleteFile('C:\WINDOWS\system32\drivers\asc3550o.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте дополнительный лог, как написано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
Скрипт выполнил, лог сделал - выслал, файлик в карантине выслал...Да доктор веб снова находит два трянца - роут кит и packed...это так для дополнительной информации...посмотрите как и что...
выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\ntoss.sys','');
QuarantineFile('C:\WINDOWS\system32\noskrnl.sys','');
DeleteFile('C:\WINDOWS\system32\noskrnl.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ntoss.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите последний лог ...
Всё сделал...выслал лог и карантин...посмотрите пожалуйста...
C:\WINDOWS\system32\tmp_1.dll - [b]Trojan-Downloader.Win32.Small.cyn[/b]
C:\WINDOWS\system32\drivers\asc3550o.sys - [b]Trojan-Proxy.Win32.Agent.rz[/b]
C:\WINDOWS\system32\drivers\ntoss.sys - [b]Rootkit.Win32.Agent.me[/b]
C:\WINDOWS\system32\noskrnl.sys - [b]Email-Worm.Win32.Zhelatin.mx[/b]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Все успешно удалены. Больше ничего подозрительного не видно. Неплохо бы еще раз сделать комплект стандартных логов.
Конечно, сейчас сделаю...
Сделал...посмотрите пожалуйста что и как...
Теперь все чисто.