AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите 2 стандартный скрипт...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('abp470n5'); DeleteFile('C:\WINDOWS\system32\drivers\qrepvm.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('abp470n5'); BC_Activate; RebootWindows(true); end.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Повторил, прилагаюСообщение от Гриша
Последний раз редактировалось Sality; 13.06.2010 в 11:45.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS',''); DeleteService('PDSched'); QuarantineFile('PDSched.sys',''); DeleteService('PDEngine'); QuarantineFile('PDEngine.sys',''); DeleteService('NBService'); QuarantineFile('NBService.sys',''); DeleteService('MyWebSearchService'); QuarantineFile('MyWebSearchService.sys',''); DeleteService('Asyndewman'); QuarantineFile('Asyndewman.sys',''); DeleteFile('Asyndewman.sys'); DeleteFile('MyWebSearchService.sys'); DeleteFile('NBService.sys'); DeleteFile('PDEngine.sys'); DeleteFile('PDSched.sys'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Последний раз редактировалось V_Bond; 30.11.2008 в 00:37.
Ошибка: Undeclared identifier: 'BC_Imporall' в позиции 20:12
На всякий случай обновил avz, мож думаю такой идентификатор (метка) ток в более новой версии есть, но нет, ошибка осталась. Выполнить этот скрипт без этой строчки (без неё проверка синтаксиса ошибок не находит) ?
поправлено - выполняйте ...
При выполнении скрипта вылезло много ошибок, в карантине только один файл, его и высылаю:
Файл сохранён как 081129_164828_virus_4931c6bcc205d.zip
Размер файла 13190
MD5 bc47291565d1ee70e64a59df8b5e8237
P.S. Из скрипта убрал строчку с ребутом и перезагрузился через пару мин самостоятельно, карантин просматривал после перезагрузки. Разве это могло послужить причиной ошибок?
Давайте новые логи, будем смотреть, что получилось.
В последнее время зачастили ошибки "память не может быть read", к чему бы это. Новые логи сделал.
Последний раз редактировалось Sality; 13.06.2010 в 11:45.
пуск выполнить sfc /scannow
Сделал, просит диск XP (для восстановления файлов), коего у меня нет. Без диска комп не вылечить? А если достану XP, любой подойдёт или нужен именно тот, с которого установлена нынешняя винда?
нужен диск с той же языковой локализацией и тем же сервиспаком ....
Тогда эт подождёт до лучших времён, наверн переставлю винду чуть позже. Значит больше вирей на компе не осталось? Большое спасибо за помощь ).
Если не затруднит, поясните чем отличается загрузка с диска от загрузки с запароленного архива. Я так понимаю, сд диск тож должен выкладывать чтот в оперативку или во временный каталог, чтобы запустить прогу тип CureIt - и эти данные, по идее, вирус также "должен мочь" убить. Если вы говорите о распаковке из-за того, что данные заархивированы, то можно ведь архивить "без сжатия" - тогда данные будут находиться в архиве, как в некоей коробочке, защищающей их до тех пор, пока они не будут запущены.А запуск из архива делается через неявную распаковку на диск, во временный каталог. Так что всё равно убьёт. Не в архиве, конечно, а запускаемую копию.
Добавлено через 6 часов 6 минут
Только что повторно заразился вирусом Sality (блокада дз и реестра), теперь я знаю источник заразы, т.к. принимал сегодня только один файл из лок. сети. Мне удалось проверить собственную гипотезу. CureIt при запуске указал на то, что файл повреждён и запуск не возможен, однако при запуске из запароленного архива он заработал и начал процесс поиска вирусов. Таким образом запароленные архивы могут заменить болванки с CureIt и другим инструментарием, надеюсь это поможет в борьбе с вирусами для тех юзеров, что не имеют доступа к незаражённым компам.
Последний раз редактировалось Sality; 30.11.2008 в 21:57. Причина: Добавлено
Запуск с CD выполняется напрямую. Архивы (пока что) в любом случае распаковываются на диск во временный файл.
CureIt в конце недели подкручивали для борьбы против очередных модификаций Sality/Sector, вам повезло.
Как это мне повезло? Ведь распакованный CureIt убился, а нераспакованный запустился. Если бы повезло, то запустились бы оба.
Возникли новые проблемы с компом.
1.Прежде всего, перестал работать wand оперы (автозаполнение пароля) для многих сайтов, в том числе mail.ru и этого портала. При ручном вбивании пароля ситуация та же -скидывает на повторную авторизацию, при этом в IE авторизация проходит нормально. Я предполагаю, либо это глюки с настройками оперы (но я вроде в них не копался), либо это то, о чём написано в faq mail.ru: "При включении этой опции проверяется, что все запросы в сессии идут с того же адреса, с которого она началась, если не с того, то сессия считается неправильной — и отправляет на авторизацию."- Т.е. может это троян пытается подменить адрес, поэтому сессия считается неправильной?
2 Кроме того, участились ошибки explorer'a и ошибки память не может быть read.
3 Хотел установить Касперского, но там нужн прописать /ncrc в командной строке, вроде прописываю, не помогает, установка не запускается - научите, пжлста, как эт правильно прописывать в ком.строке.
4 В HijackThis мне не нравятся строчки с O17 и O23: 1.журнал событий - что это? 2.служба записи дисков - если это запись моим двд-рв, то оставить 3.нетмитинг не нужен 4.диспетчер сеанса справки - не нужен 4.модуль поддержки и сами смарт-карты не нужны (правд я не совсем понимаю, что это) 5.теневое копирование тома. Перечисленные O23 пытался пофиксить несколько раз, но они восстанавливаются.
Также хотелось бы позакрывать ненужные и неиспользуемые порты и службы.
Я так понимаю, для этого нужна инфа по компу, так вот: это домашний ПК с выделенным интернетом, подключён к локалке, время от времени качаю файлы с компов из сетевого окружения и иногда открываю доступ, чтобы и у меня что-то скачать могли.
Всевозможные порты и службы по удалённому администрированию, управлению мне не нужны. Как можн определить ненужные порты и службы и заблочить их? Пользовался минипрогой по закрытию портов от 2ip.ru, но там всего 3-4 самых опасных порта закрыло, онлайн сканирование показало ещё 2-3 открытых порта, но я не знаю, можно ли их закрывать.
Кроме того, есть подозрения на трату излишнего траффика то ли вирусом, то ли ещё какой-нить заразой. Скачал NetMonitor от 2ip.ru - хорошая прога, но только показывает, никаких действий. Траффик Инспектор непонятная и громоздкая прога, после установки у меня вообще инет работать перестал, пришлось удалить. Посоветуйте какие-нить проги для контроля траффа, желательно с возможностью блока "левых" соединений. Спасибо.
Последний раз редактировалось Sality; 13.06.2010 в 11:45.
Up
Профиксить вот это надо:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
И это всё? Хотелось бы, чтобы хелперы прокомментировали мои предположения (хотя бы вкратце, верно/неверно, почему) по поводу автозаполнения паролей и ответили на все вопросы, по возможности. Короч, если другие хелперы увидят, что последним сообщение в теме оставил другой хелпер, то даж заглядывать сюда не будут, между тем, осталось много чего "дохелпить"). Так что спасибо, но либо более или менее полный ответ, либо ничего.
Кстати, этот процесс userinit.exe ведь системный, я почитал в инете, что его блокировка может привести к неправильной загрузке винды. Точно можно его фиксить?
Можно. Делается это для того чтобы поправить ключик реестра. Там в конце должна запятая стоять, тогда его Хиджак не будет в логе показывать.
По портам: есть APS на сайте Олега Зайцева.
Добавлено через 2 часа 49 минут
На вопрос о Хиджаке: на oszone.net есть хорошее описание всех служб. Советую почитать.
Выполнить скрипт для отключения удал. администрирования:
Код:begin SetServiceStart('mnmsrvc', 4); SetServiceStart('RemoteRegistry', 4); end.
Последний раз редактировалось PavelA; 16.12.2008 в 11:06. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Описание всех служб почитал, многие ненужные отключил, спасибо.
APS скачал, поставил и почти каждые 5мин получаю предупреждения об атаке хакера. Часть из них я и сам могу разобрать, например сканирования локальной сети прогами типа lanscope APS воспринимает как атаку, то же и при активности некоторых портов сетевых игр. Но что делать с остальными, как понять какие из них являются параноей APS, а какие - действительно атаки? Выкладывать логи сюда? Но ведь атаки идут постоянно, причём с разных адресов.
Для примера:
атака на порт 1080;
описание: Socks 5, CoolProxy, Wingate Proxy;
статус: Тревога - хакер!!!!, Flood;
доп.сведения: 118.167.139.187 118-167-129-187.dynamic.hinet.net;
попытка: 91
Уважаемый(ая) Sality, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
