ХЕЛП!!!!! КАРАУЛ!!! нахватал полную подборку

[SuperBrat]

Система споткнулась у тебя не слабо. Логи где?

[Not]

Мой код будет вот таким:

Код:

begin
 DeleteFile('C:\WINDOWS\System32\vedxg6ame4.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

В таком виде все успешно прошло включая корректную перезагрузку системы!


Слогами проблема заключается в синеньком таком экране СМеРти буть он не ладен.
Запускаю скрипт......зерез пару секунд лицезрею на синем фоне что то там по английски (не успеваю прочитать. особенно не зная языка)

[SuperBrat]

В таком виде все успешно прошло включая корректную перезагрузку системы!

Молодец. Давай дальше по списку.

[Not]

Говорили же мне занающие люди на этом УВАЖАЕМОМ сайте, что програмы антивирусные надо запускать в безопасном режиме винДЫ!
Вроде все получилось! только больно напугали строчки "невозможно удаление из за запрета (дальше не видно за рамкой было)


P.S. зато теперь логи загружаются!

[drongo]

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\dump_nvata.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Vfw38.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\Vfw38.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Cou64.sys'); 
 DeleteFile('C:\WINDOWS\system32\drivers\Dfm46.sys'); 
 DeleteFile('C:\WINDOWS\system32\drivers\His51.sys'); 
 DeleteFile('C:\WINDOWS\system32\drivers\Hxdb52.sys'); 
 DeleteFile('C:\WINDOWS\system32\drivers\Mqrj62.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(12);
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
3.Сделай новые логи после лечения и присоедини к следующему сообщению.

P.S.Ты главное под ограниченным юзером в инете работай, тогда хоть руткитов не нахватаешься даже с эксплорером.Просто в файрфоксе можно легко настраивать скрипты, а в екслпорере не возможно.

[Not]

Люди!!! Куда Вы пропали???!!! не оставляйте меня одного с этими тварями!!!!

Добавлено через 2 минуты

1.

Код:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)

2.

УПС...... странно но секунду назад после п2 ничего не было!!!

Извини...... мне верхом на бронепоезде не очень понятно звуковоймужчина.ехе тоже не наш человек?

и почему после 2. пусто?

[Not]

И все равно очень много строчек красного цвета с какими то надписями что то про руткит и удаление невозможно из за каких то настроек
логи свежак:

[drongo]

временные папки почистить, они там плодяться каждый раз с новыми именами. хоть руками в сейфмоде, хоть ccleaner- http://soft.softodrom.ru/ap/p5628.shtml только галку при установке с установки тулбара убери

[RiC]

Пришли ещё файл C:\WINDOWS\system32\DRIVERS\tcpip.sys посмотреть, не нравится мне его отсутствие в базе чистых.

[Not]

Пришли ещё файл C:\WINDOWS\system32\DRIVERS\tcpip.sys посмотреть, не нравится мне его отсутствие в базе чистых.

как слать? в архиве?

[RiC]

По ссылке "Прислать запрошенные файлы" в Zip архиве с паролем virus

[Not]

RiC,

высылаю несколько архивов ( с паролем virus)
в которых файлы лежащие в виндовых папках и датой создания 12.09.07 но вот этот C:\WINDOWS\system32\CatRoot2\tmp.edb не хочет архивироваться говоря, что используется другим приложением.

[RiC]

RiC,
высылаю несколько архивов ( с паролем virus)

Помилуйте, меня траффик платный, пришлите только то, что насобирал AVZ в карантин.

[Not]

Помилуйте, меня траффик платный, пришлите только то, что насобирал AVZ в карантин.

сорри, сорри но там действительно очень странные файлы!

Добавлено через 11 минут

RiC,

отправил.

но скажите мне, что этот файл обычный виндовый и я успокоюсь

[RiC]

Из присланного в последний раз -
Ewxk83.sys - Троян
symavc32.sys - Троян
uzm0nti3.sys - Чистый
C:\WINDOWS\system32\DRIVERS\tcpip.sys - не попал в карантин

Добавлено через 4 минуты

но скажите мне, что этот файл обычный виндовый и я успокоюсь

Файл размером 0 байт не содержит ничего

Добавлено через 12 минут

C:\WINDOWS\system32\DRIVERS\tcpip.sys - чистый, патчен на снятие ограничения по кол-ву сессий что-ли ?
C:\WINDOWS\system32\msdnc3.exe - 99% - Троян
C:\WINDOWS\system32\drivers\Vfw38.sys копия symavc32.sys

Добавлено через 6 минут

Дронго правильно посоветовал - Cceanen, после можно пройтись ещё раз AVZ только не скриптом из правил, а обычной проверкой из меню, судя по логам активной живности не осталось, только хвосты.

[Not]

RiC,

Компу реально легче и обращений в нет не видно, проверка (не полная) АВЗ никого не нашла (осталось весь С: проверить) но то, что живности не осталось я не уверен
вот, что спайбот показал


Если развернуть пути там есть ехеШники.

например

[RiC]

Если развернуть пути там есть ехеШники.

А на винчестере они тоже есть ? На скрине записи в реестре, о том что когдато было/жило, и скорее всего уже стерто, судя по всему антивирусом который не позаботиллся о зачистке реестра.

Вот хороший антиспай, это бесплатная версия - только сканер, и во время начала проверки нужен инет - http://downloads.ewido.net/ewido_micro.exe можете ещё им проверится для уверенности, после начала сканирования инет можно будет отключить, если нужно.

[Not]

А на винчестере они тоже есть ? На скрине записи в реестре, о том что когдато было/жило, и скорее всего уже стерто, судя по всему антивирусом который не позаботиллся о зачистке реестра.

Вот хороший антиспай, это бесплатная версия - только сканер, и во время начала проверки нужен инет - http://downloads.ewido.net/ewido_micro.exe можете ещё им проверится для уверенности, после начала
сканирования инет можно будет отключить, если нужно.

спайботом сканил 5 минут назад после всех описаных здесь манипуляций. удаление не запускал только отсканил.
Антивирусом стирал только АВЗ.
Вот....

P.S. кстати это:
"Из присланного в последний раз -
Ewxk83.sys - Троян
symavc32.sys - Троян
uzm0nti3.sys - Чистый"
было заархивировано тоже после.

[Not]

Так... ну вроде теперь все!
- ewido ничего не нашол
- доктор нашол и убил BackDoor.Dld.1169
- spy убил то, что было на скриншоте
- в довершение AVZ нашол и безжалостно убил rootkit.Win32.Agent.ea

при повторных сканированиях НИКТО НИЧЕГО НЕ НАШОЛ!!!! УРА!!!!
на всякий случай свежие логи:
ВСЕМ 200 раз спасибо!

[Muzzle]

В логах теперь чисто.
Что из этого тебе нужно?

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

и всё же ты нас не слушаешь,так и работаешь под админом