Printable View
ПОМОЩЬ НУЖНА!!!
После очистки от троянов.
Появились проблемы.
1 Изменился вид окна востановление системы.
2 Не возможно вернуться к предыдущему состоянию системы. Новые точки создаются.
3 Не могу войти за обновлениями на сайт, появляются сообщения что не запущены службы.Но службы запущены!!! Поиск обновлений, в режиме настроек для администратора проходит.
С уважением Александр
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Спасибо! но я спрашивал не чем, а как!
Гадалки в отпуске - будут логи - будет предметный разговор.
В процессе работы по очистке сохранял все возможные файлы.
Отправляю.
Сейчас снова следую всем инструкциям по сбору информации, по окончании работы утилиты отошлю
[QUOTE=AlexSadko;211343]В процессе работы по очистке сохранял все возможные файлы.[/QUOTE]мы очень ценим Ваш трудовой энтузиазм, но нам нужны [COLOR="red"][B]3 лога по правилам - ни больше, ни меньше.[/B][/COLOR], как у Пушкина: [B]Три карты, три карты...[/B]
1. Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\f','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\f');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
2. Карантин по правилам.
3. На будущее, логи по правилам делаются не так!
это не те файлы!
перечитайте правила.
Согласно инструкциям получил ЛОГИ отправляю.
[quote=Rene-gad;211344]мы очень ценим Ваш трудовой энтузиазм, но нам нужны [COLOR=red][B]3 лога по правилам - ни больше, ни меньше.[/B][/COLOR], как у Пушкина: [B]Три карты, три карты...[/B][/quote]
Спасибо за ссылочку!
Восстановление системы: включено \ отключить ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Schedule');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\f');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
В процессе выполнения скрипта Нортон сообщил о трояне после чего машина ушла в перезагрузку.
Сейчас нортон не запускается(виснет)хочу посмотреть лог о типе трояна.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Нашёл троян
нортон опознал его как "Trojan Horse"
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
В папке Drivers
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
После выполнения скрипта видовс. по прежнему не требует пароля
Вы всё равно не читаете инструкции, зачем удивляться ?
virusinfo_cure.zip нельзя прикреплять !!!
антивирус следует отключать перед исполнением скриптов.
Да согласен не внимателен!
Но лишний файл если он лишний можно просто не смотреть!?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Нортон после проверки дисков больше ничего не нашёл.
Вопрос, можно ли ещё раз запустить AVZ для выполнения скриптов.
НУЖНО, но только по правилам..
При загрузке системы.
1. Снова вход без пароля, может где есть какая опция есть для вкдючения\отключения, такого режима.
2. При загрузке монитора нортона, снова нашёл "Trojan Horse".
3. При осмотре нортоном с максимальными настройками снова ничего, но при осмотре папок "C:\Documents and Settings\%пользователь%\Local Settings\Application Data во всех учетных записях находится файл, с именем "f" размером около 200 кб, размер немного отличается от папки к папке", на котором нортон задумывается на несколько секунд.
4. Автозагрузка на эти файлы прописана в реестре.
5. Посмотрел логи штатного брандмайера, процес с этим именем ломился в инет по 80 порту.
6. выгрузил все проги
7. запуск AVZ c AVZGuard.
1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
AutoAdminLogon поставте 0
2. авз поиск файлов на диске файл, с именем "f" ... прислать согласно приложения 3 правил ...
3. новый комплект логов
[quote=AlexSadko;211412]При загрузке системы.
1. Снова вход без пароля, может где есть какая опция есть для вкдючения\отключения, такого режима.
2. При загрузке монитора нортона, снова нашёл "Trojan Horse".
3. При осмотре нортоном с максимальными настройками снова ничего, но при осмотре папок "C:\Documents and Settings\%пользователь%\Local Settings\Application Data во всех учетных записях находится файл, с именем "f" размером около 200 кб, размер немного отличается от папки к папке", на котором нортон задумывается на несколько секунд.
4. Автозагрузка на эти файлы прописана в реестре.
5. Посмотрел логи штатного брандмайера, процес с этим именем ломился в инет по 80 порту.
6. выгрузил все проги
7. запуск AVZ c AVZGuard.[/quote]
8. Новый комплект. логов!
9. Из спящего режима выход сопровождается запросом пароля.
При перезагрузке нет.
Флаг установил.
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\System Volume Information\_restore{EE1BAC63-149F-40F6-9DC8-89487019435F}\RP4\A0000373.exe','');
DeleteFile('D:\System Volume Information\_restore{EE1BAC63-149F-40F6-9DC8-89487019435F}\RP4\A0000373.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Загрузите карантин согласно приложения 3 правил.
Повторите логи.
Запрошенный карантин отправляю + два файла с очень странным содержимым.!
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Дополнения! Скрипт поиска подозрительных файлов. Собрал много подозрительных файлов. Прислать лог?
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Подскажите, плз, какие существуют механизмы востановления подозрительных файлов. Например Нортон находит файл, удаляет. При перезагрузке файл снова прописывается в автозапуск, но при этом путь его может немного отличаться от предыдущего, например поменять прописку и записаться в папку у другого пользователя.
При ручном просмотре реестра, ссылок на имя файла, ни в одном ключе не обнаружено. AVZ не нашёл подозрительных процессов, с высокой степенью вредности. Все иследования проводились через запуск приложений ввиде доверенных, были выгружены все известные мне процессы которые не нужны в тот момент ОС, а также все процессы которые мне неизвестны. Востановление системы выключено.
A0000373.exe - [b]Backdoor.Win32.Small.dhx[/b], C:\Documents and Settings\ALEXANDR\Local Settings\Application Data\f, C:\Documents and Settings\GAMES\Local Settings\Application Data\f, C:\Documents and Settings\INTERNET\Local Settings\Application Data\f - [b]Worm.Win32.Socks.be[/b], по поводу mail.mp3 - нужен ответ аналитиков.
Логи повторите.
Спасибо! уточните один момент, пожалуйста!
1. AVZ помещает указанные файлы в карантин, и вроде как удаляет, но эти паразиты снова появляются при перезагрузке.
2. После работы AVZ не запущено, что-то, что позволяет работать ВИНДОВС АПДЕЙТ,сайт ссылается на незапущеные службы,но службы запущены.
3. Если нортон не запускается в защищённом режиме как его заставить работать.
[size="1"][color="#666686"][B][I]Добавлено через 44 секунды[/I][/B][/color][/size]
Логи повторить по ПРАВИЛАМ?
Да логи нужны все 3 по правилам.
АВЗ, когда помещает файл в карантин, сам файл не трогает, а только снимает с него копию, оставляя оригинал на месте.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[quote] >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX[/quote]
Это то же не очень хорошо. в АВЗ файд--мастер устранения проблем решите эту проблуму.
Доброе утро!
Ещё раз всё тщательно просканировал всё соблюдая правила.
Нортон опять ничего ни нашёл и работает как, то странно счётчик файлов показывает всего 500 проверенных файлов, но время проверки тоже, что и раньше. Настройкти максимальные.
Затем всё до чего пустила ОС вычистил вручную, кроме заразы:\System Volume Information\_restore{EE1BAC63-149F-40F6-9DC8-89487019435F}\RP4\A0000373.exe >>> подозрение на Backdoor.Win32.Small.dhx, система отказала в доступе.
Как его оттуда уовырнуть?
Затем всё сделал по инструкции логи отправляю.
Но в нарушение правил добавил ещё один лог, ролагаю он окажется полезным.
СПАСИБО ЗА ПОМОЩЬ
з.ы. Приятно удивлён отличной атмосферой на форуме, готовность помогать. ТАК держать
Вложения!!!!!!!
Да кстати, есть две проблемки с связанные с работой винды.
Востановление системы(окно) приобрело вид как в блокноте с очень крупным шрифтом.
И мелкомягкий сайт не пускает за обновлениями ссылается на неработающие службы и запуск ничего не дал.
Какие не всем известные настройки IE7 могут на это влиять ?
Александр.
Добрый день!
Спасибо!
Большую часть проблем удалось решить!
Осталось две, маленькие.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\alexandr\\local settings\\application data\\f - [B]Worm.Win32.Socks.be[/B] (DrWEB: BackDoor.FireOn)[*] c:\\documents and settings\\games\\local settings\\application data\\f - [B]Worm.Win32.Socks.be[/B] (DrWEB: BackDoor.FireOn)[*] c:\\documents and settings\\internet\\local settings\\application data\\f - [B]Worm.Win32.Socks.be[/B] (DrWEB: BackDoor.FireOn)[*] d:\\system volume information\\_restore{ee1bac63-149f-40f6-9dc8-89487019435f}\\rp4\\a0000373.exe - [B]Backdoor.Win32.Small.dhx[/B] (DrWEB: Trojan.Proxy.3056)[/LIST][/LIST]