Вот такая гадость завелась. Как только не чистил все равно при загрузке в обычном режиме перезагружает комп и самовосстанавливается
Printable View
Вот такая гадость завелась. Как только не чистил все равно при загрузке в обычном режиме перезагружает комп и самовосстанавливается
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('C:\Program Files\Save\Save.exe','');
QuarantineFile('C:\WINDOWS\System32\system.exe','');
QuarantineFile('C:\WINDOWS\System32\iUB2WLi4.exe','');
QuarantineFile('gglib.exe','');
QuarantineFile('C:\WINDOWS\System32\heap32.exe','');
QuarantineFile('C:\WINDOWS\System32\univrs32.dat','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\System32\univrs32.dat');
DeleteFile('C:\WINDOWS\System32\system.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21280[/url]
Повторите логи.
После прогона скрипта перезагрузился и снова восстановился. Карантин выслал, сейчас повторю логи.
[QUOTE=aspu;213464]После прогона скрипта перезагрузился и снова восстановился. [/QUOTE]Кто восстановился?
[QUOTE]Карантин выслал[/QUOTE]Решпект: 24 Мб :>
ой а я смотрю что-то долго заливается)))))) извиняюсь
Восстановился как минимум braviax и univrs
[QUOTE=aspu;213469] извиняюсь[/QUOTE]
Да Вы тут ни при чем :)
[QUOTE=aspu;213469]Восстановился как минимум braviax и univrs[/QUOTE]
Повторите логи, плиз.
стандартный скрипт № 3 очень долго создается в данный момент жду его завершения
еще вопрос: Вы CureIt от ДокторВеб, как в правилах написано, прогоняли?
да снимал винт прогонял на другом компе, потом вычищал все упоминания braviax из реестра и все равно при загрузке он восстанавливается
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
только не куритом а самим дрвебом со свежими обновлениями но думаю это непринципиально
[QUOTE=aspu;213482]да снимал винт прогонял на другом компе[/QUOTE]
Попробуйте на этом же компе заменить файл C:\WINDOWS\System3\winlogon.exe на оригинальный. Он находится либо в папке C:\i386 либо на оригинальном диске от Microsoft.
свежие логи
[quote=Rene-gad;213485]Попробуйте на этом же компе заменить файл C:\WINDOWS\System3\winlogon.exe на оригинальный. Он находится либо в папке C:\i386 либо на оригинальном диске от Microsoft.[/quote]
На зараженном стоит ХР SP1 на чистом - SP2. Подойдет винлогон?
[QUOTE=aspu;213494]На зараженном стоит ХР SP1[/QUOTE]Отсюда и все Ваши проблемы. Нет, не подойдет, ищите на том же диске, где СП1 в папке C:\i386 .
[quote=Rene-gad;213499]Отсюда и все Ваши проблемы. .[/quote]
Да я сам в шоке был когда вчера увидел )))
[QUOTE=aspu;213500]Да я сам в шоке был когда вчера увидел )))[/QUOTE]Попробуйте накатать СП2 в оффлайне. Отключите антивирус и файрволл.
[QUOTE=aspu;213469]ой а я смотрю что-то долго заливается)))))) извиняюсь[/QUOTE]
если уберёте из него Eva64.rar, и winrar.bak, то он будет нормального размера.
в присланном:
C:\WINDOWS\System32\Drivers\Beep.SYS FraudTool.Win32.UltimateDefender.cm ( Trojan.Fakealert.458 )
C:\WINDOWS\system32\braviax.exe ... ( Trojan.Packed.383 )
c:\windows\system32\univrs32.dat AdWare.Win32.Agent.zo ( Trojan.Click.5043 )
"Попробуйте накатать СП2 в оффлайне"
К сожалению пакета отдельного СП2 под рукой нет, а без этого проблема решаема?
"C:\WINDOWS\System32\Drivers\Beep.SYS FraudTool.Win32.UltimateDefender.cm ( Trojan.Fakealert.458 )
C:\WINDOWS\system32\braviax.exe Trojan.Packed.383
c:\windows\system32\univrs32.dat AdWare.Win32.Agent.zo ( Trojan.Click.5043 )"
Это я вижу а вот как от них избавиться? Откуда-то они же восстанавливаются
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
вы еще не упомянули C:\WINDOWS\System32\dllcache\Beep.SYS ;)
[QUOTE=aspu;213510]вы еще не упомянули[/QUOTE]
Я упомянул только то, что Вы прислали, для тех, кто не может загрузить данный карантин.
значит avz его не заметил :(
После замены винлогон из I386 перестал грузится, выкидывает БСОД. После загрузки последней удачной конфигурации снова выполз злодей :(
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Samsung\ML1250\Common\WATCHPNP.EXE','');
QuarantineFile('C:\WINDOWS\system32\watchPnp.exe','');
QuarantineFile('C:\WINDOWS\System32\iUB2WLi4.exe','');
QuarantineFile('gglib.exe','');
QuarantineFile('C:\WINDOWS\System32\gglib.exe','');
QuarantineFile('C:\WINDOWS\System32\heap32.exe','');
QuarantineFile('C:\Program Files\Save\Save.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\opcc.exe','');
QuarantineFile('C:\Documents and Settings\Настя.V8ZLNQEXKJ7KPNR\Start Menu\Programs\Startup\unblacklist.exe','');
DeleteFile('C:\WINDOWS\System32\univrs32.dat');
DeleteFile('C:\WINDOWS\System32\braviax.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21280[/url] ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.
После проделанных действий сделайте новые логи, начиная с пункта 10 правил.
карантин отправил
новые логи
присланный C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\opcc.exe - свежий Hoax.Win32.Renos.bln
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winlogon.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url].
выслал
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Скажите есть хоть смысл бороться или резать эту винду к чертовой матери не дожидаясь перитонита?
winlogon.exe-по версии ВТ чист
[QUOTE=aspu;213553]выслал[/QUOTE]присланный файл чистый.
[QUOTE=aspu;213553]
Скажите есть хоть смысл бороться или резать эту винду к чертовой матери не дожидаясь перитонита?[/QUOTE]
Сделайте логи в последний раз. Если не поможет - R.I.P Windows XP SP1 ;)
в сообщении № 22 последние логи после них вроде ничего не чистили
[QUOTE=Гриша;213561]winlogon.exe-по версии ВТ чист[/QUOTE]
Но почему-то он не попал в доверенные приложения :O
[QUOTE]в сообщении № 22 последние логи после них вроде ничего не чистили[/QUOTE]
Спасибо, не заметил.
Давайте консилиум соберем... 8)
@aspu
Подождете маленько? Может, вылечим еще систему?
Да сколько угодно :) Все равно бросил его на работе и раньше пятницы до него не доберусь :)
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Пока поищу СП2 отдельной заплаткой
Если не Вы добавляли задания в планировщик заданий и они Вам не нужны, тогда зайдите в
Пуск - Панель управления - Назначенные задания - удалить все.
Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\beep.sys','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\System32\univrs32.dat');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\opcc.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин.
Сделайте новые логи.
Карантин пустой и вроде зловред не показывается. Новые логи прикладываю
braviaxа уже нет.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('gglib.exe','');
QuarantineFile('C:\Program Files\Save\Save.exe','');
QuarantineFile('C:\Program Files\Media Access\MediaAccK.exe','');
DeleteFile('gglib.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url].
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]O4 - HKLM\..\Run: [vmtuner] gglib.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe[/code]
Сделайте новые логи.
Вот это Вам знакомо?:
C:\Program Files\Save\Save.exe?
карантин пустой. строку с gglib не нашел, зато пофиксил save.exe. Новые логи прилагаются.
Уже гораздо лучше.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Настя.V8ZLNQEXKJ7KPNR\Start Menu\Programs\Startup\unblacklist.exe','');
QuarantineFile('C:\DOCUME~1\ÍÀÑÒß~1.V8Z\LOCALS~1\Temp\Set1.tmp','');
DeleteFile('C:\Program Files\Media Access\MediaAccK.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин.
Вот это Вам знакомо?
C:\Documents and Settings\Настя.V8ZLNQEXKJ7KPNR\Start Menu\Programs\Startup\unblacklist.exe
Если нет и карантин будет пустой, то поищите его через AVZ согласно приложения 2 правил и пришлите.
Обновите лучше XP до SP2, иначе можем часто встречаться в этом разделе.
unblacklist это думаю остатки взломанного касперского.
Комп не мой, но я уже настоятельно посоветовал девушке обзавестись лицензионным сп2 чтобы облегчить людям жизнь.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Результат загрузки
Файл сохранён как 080410_080413_2008-04-10_47fe104de85e3.zip
Размер файла 56426
MD5 585247b8746e118f53b68a59f1acc34a
Присланный файл чистый. Какие-то проблемы остались?
Вроде чисто все. Огромное всем спасибо.
Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users.windows\\start menu\\programs\\startup\\opcc.exe - [B]Hoax.Win32.Renos.bln[/B] (DrWEB: Trojan.Fakealert.498)[*] c:\\windows\\system32\\braviax.exe - [B]Hoax.Win32.Renos.bmt[/B] (DrWEB: Trojan.Packed.568)[*] c:\\windows\\system32\\drivers\\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] (DrWEB: Trojan.Fakealert.458)[*] c:\\windows\\system32\\univrs32.dat - [B]not-a-virus:AdWare.Win32.Agent.zo[/B] (DrWEB: Trojan.Click.5043)[/LIST][/LIST]