-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\sort.dll','');
QuarantineFile('C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\NDIS.sys','');
QuarantineFile('C:\fwdrv.sys','');
BC_ImportQuarantineList;
BC_QrSvc('runtime');
BC_DeleteSvc('runtime');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин по правилам.
I am not young enough to know everything...
-
-
И следом еще такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Остальное после анализа карантина.
I am not young enough to know everything...
-
-
карантин закачал весь (с файлами, помещенными туда во время проверки). winlogon вроде удалял ранее, но в автозагрузке он висит. как убрать из msconfig'a?
-
Вопреки ожиданиям, ndis.sys вроде бы чистый, отправил в ЛК на всякий случай. Остальные уже удалены. Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\sort.dll (file missing)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
перезагрузитесь и сделайте новые логи.
I am not young enough to know everything...
-
-
Пофиксил первую строку, остальных двух не было уже. Возникли некоторые проблемы - Каспер начал ругаться на
Windows\Еxplorer.EХE - потенциально опасное ПО mass-mailer
и некий systems32\LFZ.dll -троян, удален.
Винда начала плохо грузиться... Как восстановить Explorer?
-
Без логов ничего не могу сказать. Может, успели новенького подцепить?
-
-
ок.. жду пока загрузится в Safemode, попытаюсь сделать логи. PS. Постоянно забываю написать. в корне С: постоянно появляются файлы cd????.NLS. Где ???? - 4х-значное число
Последний раз редактировалось M@xWell; 25.06.2007 в 17:42.
-
в корне С: постоянно появляются файлы cd????.NLS. Где ???? - 4х-значное число
А вот это уже признак того самого спам-бота, который ndis.sys, однако про него пришел ответ из ЛК, что якобы все чисто! Давайте все-таки его заменим на заведомо правильный. И еще C:\fwdrv.sys мы упустили, в карантин он не попал. Попробуйте его найти вручную, он должен найтись.
Далее, скачайте патч: Вложение 10580, в безопасном режиме запустите его и нажмите кнопку Patch. После этого выполните скрипт:
Код:
begin
DeleteFile('C:\cd*.nls');
DeleteFile('C:\fwdrv.sys');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Полагаю, это должно решить проблему.
I am not young enough to know everything...
-
-
Сейчас буду делать скрипт и восстанавливать ndis. Сделал логи, но не уврен что полностью - АВЗ зависает. Может переименовать АВЗ? Но не могу скопировать логи на флешку...
-
Что-то мы забыли про этот файлик?
Выполните скрипт в Safe Mode:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\windev-5c23-5450.sys','');
RebootWindows(true);
end.
Если в карантин попадет этот файлик, то прислать его.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
@PavelA - В первом логе AVZ:
C:\WINDOWS\system32\windev-5c23-5450.sys >>>>> Packed.Win32.Tibs.ab успешно удален
-
-
Файлы *.nls не удаляются ((
-
Вы сделали патч и скрипт из сообщения #9 ?
Давайте теперь логи, будем смотреть, что осталось.
I am not young enough to know everything...
-
-
@Bratez Прозевал.. понедельник, однако.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
да, пропачил, но файлы не удалились.. ( зато удалились вручную...) не могу скопировать логи.. вообще никакие файлы не могу ни скопировать, ни вставить. Можно ли это както устранить?
-
вообще никакие файлы не могу ни скопировать, ни вставить. Можно ли это както устранить?
1. Попробуйте в AVZ Восстановление системы #6 и #8.
2. Как насчет команды контекстного меню "Отправить" ("Send to")?
-
-
1. ни к каким изменениям не привело(( 2. пробовал.. через проводник пробовал.. не знаю как еще не пробовал..
-
не могу ан-исталить каспера.. ошибка windows installer..
привожу еще симптомы: на панели задач не отображаются открытые окна, не работает сеть, не копируются, не перемещаются файлы...
кстати, на сайте все еще запускается троян при входе. Как ссылку вам кинуть, чтоб проверить сайт? Может отсюда получится решить проблему?
-
Как вариант: в Safe Mode создать пользователя "Test" с привилегиями Администратора.
Загрузиться и посмотреть на поведение компьютера.
Есть мысль, что глюки останутся в профиле существующего поль-ля.
Торопится выполнять не спеши, м.б. кто-нибудь чего-нибудь еще предложит.
Вариант 2: скопировать логи на дискетку !!! Это можно сделать и из Safe Mode.
Адрес сайта напиши мне в ЛС. Передадим аналитикам.
Последний раз редактировалось PavelA; 25.06.2007 в 19:19.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-