Нужна помощь

**ig473** · 19.09.2007, 15:55

Выполнил, загрузил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 19.09.2007, 15:58

boot_clr.log -прикрепите к сообщению....

**ig473** · 19.09.2007, 16:07

Вот

**V_Bond** · 19.09.2007, 16:39

выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 DeleteFile('C:\WINDOWS\system32\DefLib.sys');     
 BC_DeleteSvc('runtime');       
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите лог Sisinfo ...

**ig473** · 19.09.2007, 16:57

Выполнил

**PavelA** · 19.09.2007, 17:19

runtime убился, deflib остался.
Почистим:

Код:

begin
 ClearQuarantine;
 SetAVZGuardStatus(true);                                                    
 SysCleanAddFile('C:\WINDOWS\system32\DefLib.sys');          
 ExecuteSysClean;
end.

Поискать system32\DRIVERS\Ip6Fw.sys. Найдется, добавить в карантин и прислать.

**ig473** · 19.09.2007, 17:40

Скрипт выполнил.

system32\DRIVERS\Ip6Fw.sys искал в AVZ через меню "Добавление в карантин по списку". В карантине пусто, в протоколе -"Карантин с использованием прямого чтения - ошибка". Это значит что все чисто, или я не правильно искал ?

**PavelA** · 19.09.2007, 17:45

Да. Значит он чистый.

повторите лог Sisinfo ...

**ig473** · 19.09.2007, 17:53

Сделал

**PavelA** · 19.09.2007, 17:59

Повтори скрипт в Safe Mode. Что-то не хочет удаляться ссылка.

**ig473** · 19.09.2007, 18:16

Выполнил, прикрепляю лог Sisinfo (или не надо, хотя уже поздно)

**PavelA** · 19.09.2007, 18:31

Забудем о ней. Не удаляется и все.

Делай логи AVZ. Будем заканчивать тему.

**ig473** · 19.09.2007, 19:02

Уже забыл.
Вот свежие логи

**PavelA** · 19.09.2007, 19:09

http://127.0.0.1:8080/config.script - это знаете что такое.

Профиксить в HijackThis:

Код:

O4 - HKUS\S-1-5-19\..\Run: [LinkDel] linkdel.cmd (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [LinkDel] linkdel.cmd (User 'NETWORK SERVICE')

Не успели одно вылечить, уже второе живет.

Выполнить скрипт в Safe Mode:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\qqd.sys','');
DeleteFile('C:\qqd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать после перезагрузки карантин.

**ig473** · 19.09.2007, 20:10

Все сделал, а что такое http://127.0.0.1:8080/config.script -не знаю

**PavelA** · 19.09.2007, 20:50

Это настройка Вашего IE.
Поищите config.script через AVZ. Может тогда узнаем что это такэ.
Карантин сейчас посмотрю.

Добавлено через 13 минут

C:\WINDOWS\system32\ntoskrnl.exe - Trojan-Downloader.Win32.Kset.b(по Касперскому)
C:\qqd.sys - Rootkit.Win32.Agent.ey

Надо заменять ntoskrnl.exe с дистрибутива на чистый.

Как это делать:
Пуск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp

**ig473** · 19.09.2007, 21:28

А меня чето уже не читаются диски

**V_Bond** · 19.09.2007, 21:37

можете взять тут

**ig473** · 19.09.2007, 22:09

Спасибо за файл, но попытка по прежнему не удалась.
Выполнение заканчивается "не удается открыть конечный файл с:\windows\system32\ntoskrnl.exe"

**V_Bond** · 19.09.2007, 22:19

1. Перегрузить ПК.
2. Во время загрузки держать нажатой кнопку F8 для входа в загрузочное меню Windows XP.
3. Выбрать режим командной строки (Command Prompt).
4. Снова нажать F8.
5. Войти в систему под именем Администратора.
6. выполнить замену как написал PavelA ... ( слегка скорректировав пути) ...

Нужна помощь (заявка № 12548)

Опции темы

Похожие темы

нужна помощь!

нужна помощь

Нужна помощь...

Очень нужна помощь

Нужна помощь

Ваши права в разделе