Printable View
Надо было мне сначала научится а потом создавать тему.
Сделал логи.
Открытых портов кстати бывает больше 3 тыс...
я спешил потому что деньги улетают по адсл со страшной силой. Не пойму что мой комп отсылает но недавно 180 мгобайт улетело пока я ужинал (и файерфол не помог - завис)
Надеюсь всё сделал правильно
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\LINKINFO.dll','');
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS\LINKINFO.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
пофиксите ...
[code]
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
[/code]
если жалко трафик, надо отключить и feedback оутпоста ;)
пофиксите ...
Код:
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
Извините :? я только это не понимаю как делать... :embarasse
[quote=drongo;139318]если жалко трафик, надо отключить и feedback оутпоста ;)[/quote]
Спасибо. Уже отключил :D
1[URL="http://virusinfo.info/showthread.php?t=4491"]Что значит "пофиксить с помощью HijackThis"[/URL]
2 прислать карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12884[/url]
1. точно, разобрался и сделал
2. сделал, но не уверен что то что надо
поскольку было два карантина по ntoskrnl.exe и один из них много весил... (извините если что зделал не так)
присланный ntoskrnl.exe
[CODE] Scan taken on 03 Oct 2007 04:12:50 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found Trojan.Spambot.2450
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan.Win32.Patched.au
Fortinet Found W32/Pixoliz.MT!tr
Kaspersky Anti-Virus Found Trojan.Win32.Patched.au
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing[/CODE]
Надо заменять ntoskrnl.exe с дистрибутива на чистый.
1. Перегрузить ПК.
2. Во время загрузки держать нажатой кнопку F8 для входа в загрузочное меню Windows XP.
3. Выбрать режим командной строки (Command Prompt).
4. Снова нажать F8.
5. Войти в систему под именем Администратора.
6. выполнить замену expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
[quote=Shu_b;139363]присланный ntoskrnl.exe
[code]
Dr.Web Found Trojan.Spambot.2450
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan.Win32.Patched.au
Fortinet Found W32/Pixoliz.MT!tr
Kaspersky Anti-Virus Found Trojan.Win32.Patched.au
[/code][/quote]
А что это значит и что с этим делать? :?
Спасибо!
[quote=V_Bond]
Надо заменять ntoskrnl.exe с дистрибутива на чистый.
1. Перегрузить ПК.
2. Во время загрузки держать нажатой кнопку F8 для входа в загрузочное меню Windows XP.
3. Выбрать режим командной строки (Command Prompt).
4. Снова нажать F8.
5. Войти в систему под именем Администратора.
6. выполнить замену expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
[/quote]
У меня в реестре стоит автовход под моим именем, значит надо поменять на администратора, я так понимаю?
Спасибо за помощь!
См. сообщение №10 там V_Bond все расписал и даже спасибо получил.
Зделал нужные действия по рекомендации V_Bond
Всё прошло успешно! Ни кто в инет не рвётся, трафик в порядке. Огромное спасибо!!!
Правда по пункту:
3. Выбрать режим командной строки (Command Prompt).
У меня был только вариант "безопасный режим с поддержкой командной стоки"
4. Снова нажать F8.
при нажатии ни чего не происходило
и я вводил строку после C:\Documents and Settings\vlad
expand k:\i386\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
(результат положительный) увеличение на 116%
сделайте еще раз логи .... для контроля ...
Сделал. но файл virusinfo_cure.zip весит 1.3 мб поэтому я его загружать не стал
нужен ...virusinfo_syscure.zip
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
в присланных логах ничего подозрительного не вижу ...
сейчас ещё раз выполню логи
[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]
уже три раза пытался но создаётся только virusinfo_cure.zip
нету syscure.zip
Что делать?
[url]http://virusinfo.info/showthread.php?t=10387[/url] - сделай вот такой лог.
в смысле загрузится в безопасном режиме и выполнить эти действа?
Пуск/Сохранить протокол
Упакуйте протокол в архив zip
тут не понял... когда делаешь "Сохранить протокол" он же уже сохраняется в zip куда его ещё упаковывать?
значит у вас уже стоит галка - создать ZIP архив ...
в безопасном режиме и [U][COLOR=#22229c]syscure.zip[/COLOR][/U] получилось...
Выполнить скрипт в Safe Mode:
[CODE]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\IdeChnDr.sys','');
QuarantineFile('system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('\??\C:\fwdrv.sys','');
BC_DeleteFile('C:\fwdrv.sys');
BC_DeleteSvc('fwdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин, если в него что-то попадет.
Выпонил.
? загрузить это в смысле прислать по этой ссылке то что в карантине [url]http://virusinfo.info/upload_virus.php?tid=12884[/url]
именно ...
тогда уже отправил...
Файл tcpip.sys чистый.
Попробуй сделать скрипт лечения в норм. режиме.
syscure.zip не создаётся. Что делать?
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\WINDOWS\system32\ntkrnlpa.exe','');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите крарантин согласно приложения 3 правил ...
после выполнения скрипта вместо перезагрузки такой ответ Failed to set data for 'DisplayName'
Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 6576206C], шаг [9]
Попробуй так:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Тоже самое и пишет
Ошибка в работе антируткита [Out of memory], шаг [11]
тогда так ...
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Файл успешно помещен в карантин (C:\WINDOWS\system32\ntkrnlpa.exe)
Выполнен карантин файла C:\WINDOWS\system32\ntkrnlpa.exe
но потом сообщило вместо перезагрузки Failed to set data for 'DisplayName'
C:\WINDOWS\system32\ntkrnlpa.exe -[B]Trojan.Win32.Patched.au[/B]
лечится касперским и вебом ....
или можно заменить на чистый ...
Приогромнейшее Спасибо!!! Сейчас поменяю на новый. Это по видимому как в случае с ntoskrnl.exe
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
Надо заменять ntkrnlpa.exe с дистрибутива на чистый.
1. Перегрузить ПК.
2. Во время загрузки держать нажатой кнопку F8 для входа в загрузочное меню Windows XP.
3. Выбрать режим командной строки (Command Prompt).
4. Снова нажать F8.
5. Войти в систему под именем Администратора.
6. выполнить замену expand x:\i386\SP2.CAB\ntkrnlpa.exe y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
вот только я не понял надо набирать ntkrnlpa.exe или ntkrnlpa.ex_
ntkrnlpa.ex_ именно так набирать. Проверь, просмотри сидюк. Можно обычным поиском виндусовым поискать "ntkrnlpa.*"
Извините за наивный вопрос менять надо только тот файл что в папке system32?
Такой файл есть в нижеследующих папках...
C:\WINDOWS\system32
C:\WINDOWS\Driver Cache\i386\sp2.cab
C:\WINDOWS\SoftwaresDistributions\Download\9bc65f43c02cd90276cfdd30f2b6e103\sp2gdr
C:\WINDOWS\SoftwaresDistributions\Download\9bc65f43c02cd90276cfdd30f2b6e103\sp2qfe
C:\WINDOWS\SoftwaresDistributions\Download\a9b05a4d6550fd78fa3f54d851d2d230\sp2gdr
C:\WINDOWS\SoftwaresDistributions\Download\a9b05a4d6550fd78fa3f54d851d2d230\sp2qfe
C:\WINDOWS\Driver Cache - там система сама заменит, но можно ей помочь, вписать файлик и туда.
Остальные - это от установки SP2 и добавок после него.
C:\WINDOWS\system32 поменял а вот C:\WINDOWS\Driver Cache\i386\sp2.cab ни как не получается. там даже нет "вставить" и не перетаскивается...
и не нужно ... новые логи сделайте ...