И еще раз Здравствуйте!
Со вторым компьютером все совсем запущено.....
Отчеты удалось сделать только в безопасном режиме.
Printable View
И еще раз Здравствуйте!
Со вторым компьютером все совсем запущено.....
Отчеты удалось сделать только в безопасном режиме.
восстановление системы в безопасном режиме не отключается: "Ошибка восстановления....... Перезагрузите компьютер и повторите попытку""
а в нормальном режиме система выдает ряд ошибок и уходит в перезагрузку.
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('halifax1.dll','');
QuarantineFile('msime80.exe','');
QuarantineFile('md4hsh.dll','');
QuarantineFile('crypt32rt.dll','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\WINDOWS\system32\bolenjx.exe','');
QuarantineFile('C:\WINDOWS\system32\bolenja.exe','');
QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\win32.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\pavdrv51.sys','');
QuarantineFile('C:\WINDOWS\system32\nvnatv.sys','');
QuarantineFile('D:\NTACCESS.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito3d56-794e.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nsx05.sys','');
QuarantineFile('C:\WINDOWS\system32\wsock3.dll','');
QuarantineFile('C:\WINDOWS\system32\win_p5.dll','');
QuarantineFile('C:\WINDOWS\system32\md4hsh.dll','');
QuarantineFile('C:\WINDOWS\system32\crypt32rt.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\crypt32rt.dll');
DeleteFile('C:\WINDOWS\system32\md4hsh.dll');
DeleteFile('C:\WINDOWS\system32\win_p5.dll');
DeleteFile('C:\WINDOWS\system32\wsock3.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\win32.exe');
DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
DeleteFile('C:\WINDOWS\system32\bolenja.exe');
DeleteFile('C:\WINDOWS\system32\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('crypt32rt.dll');
DeleteFile('md4hsh.dll');
DeleteFile('msime80.exe');
DeleteFile('halifax1.dll');
DeleteFile('C:\autorun.inf');
DelBHO('{4F45C552-9688-4af2-AA57-15089900E144}');
DelBHO('{28C703D0-B4A9-4b2f-9123-CE8294761861}');
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(9);
ExecuteRepair(14);
ExecuteRepair(16);
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Проверку CureIt делали? (2 пункт привил)
ПРОБЛЕМА!!!!
Система висит на "Запуск Windows....."
и в безопасном и в нормальном режиме
[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]
...после выполнения скрипта
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
о, чудо - в безопасном режиме система все-таки прогрузилась!!!!
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
cureit делал - в быстром режиме он почистил несколько виров и троев, а в полном режиме подвис.... (кстати. его пришлось переименовать в Cureit.pif)
сейчас еще раз просканирую....
cureit.exe - это архив.
На здоровой машине скачиваете его, распаковываете и в распакованном виде записываете на диск. С диска запускаете _start.exe
CureIt прогнал.
машина очень долго грузится.
в нормальном режиме теперь работает без перезагрузки, но AVZ на скрипте леченя\карантина и сбора виснет почти сразу....
восстановление системы отключить не удается - функция заблокирована\перехвачена.
сейчас пробую выполнить скрипты в безопасном режиме...
Можно попробовать avz.exe переименовать в game.pif
1. первый скрипт прошел почти до конца, написал в конце "исследование системы..." и так и не закончился. пришлось снять задачу.
2. второй скрипт
в самом начале на проверке памяти виснет, обрабатывая system32\svchost.exe
:ohmy: ЧТО ДЕЛАТЬ?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
окно "Запуск Windows" и в нормальном режиме и в безопасном (перед прорисовкой значков выбора учетных записей) грузится\висит примерно 7 минут
можете сделать логи авз хотя бы в безопасном режиме ?
это как раз в безопасном режиме я и пытался сделать.....
Скачайте эту программу:
[url]http://www.tacktech.com/pub/winsockfix/WinsockFix.zip[/url]
Дождитесь полной загрузки системы в нормалном режиме, запустите скачанную программу и нажмите кнопку Fix. По окончании ее работы будет перезагрузка. Запуск системы должен нормализоваться. [b]Имейте ввиду, что программа сбрасывает настройки сетевых подключений[/b], поэтому запишите их заранее и потом введите на место.
Надеюсь, после этого появится возможность нормально сделать логи.
Спасибо за помощь - я уже подумывал о сносе данных с диска...
вчера до 5-ти часов ночи (г. Пермь - у нас + 2 часа от Москвы) просидел с чистками и попытками создания отчетов = все заканчивалось подвисанием на "выполняется исследование системы" (и занимало уйму времени).
после winsockfix работа нормализовалась и отчеты уже сгенерил в нормальном режиме. ...
:cool:
+
....а теперь svchost.exe забрасывает ошибками приложения: " инструкция по адресу .......память не может быть "written"
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - AppInit_DLLs: kus109.dat
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
O20 - Winlogon Notify: crypt32 - C:\WINDOWS\
O20 - Winlogon Notify: md4hsh - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('msfir80.exe','');
QuarantineFile('kus109.dat','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\desktop.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\system32\lrito78aa-3a47.sys','');
QuarantineFile('C:\WINDOWS\system32\lrito6f2e-7533.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djo16.sys','');
QuarantineFile('C:\WINDOWS\system32\xpdx.sys','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\MSCORE.DLL','');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\system32\xpdx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Djo16.sys');
DeleteFile('C:\WINDOWS\system32\lrito6f2e-7533.sys');
DeleteFile('C:\WINDOWS\system32\lrito78aa-3a47.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\Documents and Settings\LocalService\desktop.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\kus109.dat');
DeleteFile('C:\WINDOWS\system32\msfir80.exe');
BC_ImportALL;
BC_QrSvc('asc3550p');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Djo16');
BC_DeleteSvc('lrito78aa-3a47');
BC_DeleteSvc('lrito6f2e-7533');
BC_DeleteSvc('xpdx');
ExecuteSysClean;
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
карантин сохранён как080112_055352_virus_4788aa5020812.zip
[b]Trojan.Win32.Zapchast.dz[/b] C:\WINDOWS\system32\MSCORE.DLL
[b]AdWare.Win32.Agent.zo[/b] C:\WINDOWS\system32\users32.dat
[b]Trojan.Win32.Patched.bh[/b] C:\WINDOWS\system32\svchost.exe
Выполните:
[code]var x : Integer;
Begin
x := CheckFile('%windir%\system32\dllcache\svchost.exe');
If x = 3 then
begin
AddToLog('>>>Файл опознан как безопасный, продолжаем');
RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak');
CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000);
BC_DeleteFile('%windir%\System32\MSCORE.DLL');
BC_DeleteFile('%windir%\system32\svchost.bak');
BC_Activate;
SaveLog(GetAVZDirectory + 'cure.log');
RebootWindows(true);
end else
AddToLog('>>>Файл не опознан как безопасный, стоп!');
SaveLog(GetAVZDirectory + 'cure.log');
end.[/code]
Сделайте новый комплект логов и прикрепите cure.log из папки с AVZ
,...а вот и логи
....это выгружено до последнего скрипта.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
а скажите, пожалуйста, из-за чего вчера вечером система загибалась после первого скрипта? это связано со скриптом zerocorporated или так совпало?
Тогда после скрипта из поста 17 логи не делайте, выполните скрипт в посте 17, затем этот скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('%WINDIR%\SYSTEM32\msfir80.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Iot85.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Iot85');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
И только потом логи
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote]это связано со скриптом zerocorporated или так совпало?[/quote]
Ничего, что могло бы это вызвать, в том скрипте нет