[B]amvo.exe, Brontok.[/B]
Посмотрите пожалуйста, что осталось вредоносного.
И вылечился ли Brontok? (в процессах вроде удалились Services, Lsass..., да и кучи подобий папок, тоже исчезли)
Printable View
[B]amvo.exe, Brontok.[/B]
Посмотрите пожалуйста, что осталось вредоносного.
И вылечился ли Brontok? (в процессах вроде удалились Services, Lsass..., да и кучи подобий папок, тоже исчезли)
Вот логи))
Это после второй очистки. После первой не сохранился почему-то файл syscure
Так а логи то где?
Не понял шутки. Логи были потом Вы их удалили. Можно спросить причину, там зверья хватает.
щас будут:) самому смешно.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[B]hijackthis.log[/B]:
Вы уже вложили этот файл в теме
[B]virusinfo_syscheck.zip[/B]:
Вы уже вложили этот файл в теме
[B]virusinfo_syscure.zip[/B]:
Вы уже вложили этот файл в теме
А ведь просто хотел сделать по-человечески. Отредактировать и вставить в первое сообщение
Будем надеяться, что Вы вылаживали те же логи
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('%systemroot%\inf\nlite.cmd','');
QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
QuarantineFile('C:\Documents and Settings\21\Главное меню\Программы\Автозагрузка\RavMonE.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\windows\system32\amvo.exe','');
QuarantineFile('C:\windows\system32\wincab.sys','');
QuarantineFile('C:\windows\system32\amvo0.dll','');
DeleteFile('C:\windows\system32\amvo0.dll');
DeleteFile('C:\windows\system32\wincab.sys');
DeleteFile('C:\windows\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\Documents and Settings\21\Главное меню\Программы\Автозагрузка\RavMonE.exe');
DeleteFile('C:\WINDOWS\system32\itunesff.exe');
BC_ImportAll;
ClearHostsFile;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно п.3 правил.
Профиксите
[quote]O4 - HKCU\..\Run: [amva] C:\windows\system32\amvo.exe[/quote]
Бугога
не знаю где они сейчас вложены, но я их не вижу.
Главное, что я их видел, но вообще то страно.
ну, спасибо щас попробую
[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]
А объясни пжлст, какие файлы карантин нужно присылать?
-Те что в AVZ\Quarantine появились после первой проверки
- эти найти и прислать
QuarantineFile('%systemroot%\inf\nlite.cmd','');
QuarantineFile('C:\WINDOWS\system32\itunesff.exe','');
QuarantineFile('C:\Doc&Settings\21\Гменю\Прогр\Автозагр\RavMonE.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\windows\system32\amvo.exe','');
QuarantineFile('C:\windows\system32\wincab.sys','');
QuarantineFile('C:\windows\system32\amvo0.dll','');
Загружайте все которые там есть, я некоторые специально не карантинил, так как АВЗ сама добавила.
[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]
Сделайте новые логи и выложите. Посмотрим, что там.
А можно как нибудь выполнять те скрипты только на отдельных частях диска(windows, document&settings) ?
Просто, если их банально проверять не создаётся логов. А делать полную проверку мне - 42 минуты.
Не понял о каких тех скриптах идёт речь?
вот. Этого хватит?
C:\WINDOWS\system32\msmlqc.com, C:\WINDOWS\system32\msveds.com, C:\WINDOWS\msagent\mstgxt.com, C:\WINDOWS\msagent\msbwlk.com - [b]Backdoor.Win32.Beastdoor.l[/b]
C:\WINDOWS\system32\necsort.sys - [b]Rootkit.Win32.Agent.sh[/b]
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\necsort.sys');
DeleteFile('C:\WINDOWS\msagent\msbwlk.com');
DeleteFile(':\WINDOWS\msagent\mstgxt.com');
DeleteFile('C:\WINDOWS\system32\msveds.com');
DeleteFile('C:\WINDOWS\system32\msmlqc.com');
DeleteFile('C:\windows\system32\ntos.exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Хоть и долго делать логи, но прийдётся потерпеть. Повторите все логи заново. Поймите, нам нужно видеть все логи перед собой, что бы понять чем болен компьютер и как его лечить.
Спасибо за понимание.
Вот эти - я не знаю зачем, какие то подозрительные)
C:\windows\system32\ntos.exe
C:\windows\system32\Drivers\sptd.sys
+ вот это очень интересно, что значит.
[CODE]Функция NtCreateKey (29) перехвачена (8056F063->F759F0D0), перехватчик C:\windows\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (8056F76A->F75A4FB2), перехватчик C:\windows\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F75A5340), перехватчик C:\windows\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (805684D5->F759F0B0), перехватчик C:\windows\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (8056F473->F75A5418), перехватчик C:\windows\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F75A5298), перехватчик C:\windows\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80575527->F75A54AA), перехватчик C:\windows\system32\Drivers\sptd.sys[/CODE]
Я заметил [b]client.alfabank[/b] меняйте пароли...
[quote]>>> C:\windows\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker [/quote]
[size="1"][color="#666686"][B][I]Добавлено через 56 секунд[/I][/B][/color][/size]
C:\windows\system32\Drivers\sptd.sys - это диамон
В данном случае - Алкоголь. Что, в общем, без разницы, один чёрт.
Выполнил скрипт.
Вот логи.
Выполнить скрипт
Что это за задание в планировщике?
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\21\Шаблоны\Brengkolang.com','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
AVZ - файл - мастер поиска и устранения проблем (устраняем проблемы;))
фиг его знает, что это такое, но этот файл скрытый, и мне он точно не нужен.
Кстати ещё вопрос - как мне вернуть всё назад, то что сделал Brontok (расширения файлов не показывает)
Если C:\Documents and Settings\21\Шаблоны\Brengkolang.com попал в карантин то загрузите по правилам
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Кстати нужен полный комплект всех логов, а то мы так не поймём как проходит лечение.