-
Full Member
- Вес репутации
- 64
HackTool.RootKit
У меня беда! Компьютер отказывается работать в "Обычном режиме". Грузится только в "Безопасном режиме". При подключении компьютера к Интернет в "Обычном режиме" начинается рассылка писем. Помогите, пожалуйста, очень важно, чтобы компьютер был спасен!
Последний раз редактировалось ghostil; 09.10.2007 в 20:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
QuarantineFile('C:\WINDOWS\system32\mscorews.dll','');
QuarantineFile('zoox1.dll','');
QuarantineFile('w3sskbda.dll','');
QuarantineFile('flwzx.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('confbrw.dll','');
QuarantineFile('brwstat.dll','');
QuarantineFile('brwmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\winload.dll','');
QuarantineFile('C:\WINDOWS\system32\jgdwadsn.dll','');
QuarantineFile('C:\WINDOWS\system32\brwconf.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\brwconf.exe');
DeleteFile('C:\WINDOWS\system32\jgdwadsn.dll');
DeleteFile('C:\WINDOWS\system32\winload.dll');
DeleteFile('brwmgr32.dll');
DeleteFile('brwstat.dll');
DeleteFile('confbrw.dll');
DeleteFile('e1.dll');
DeleteFile('flwzx.dll');
DeleteFile('w3sskbda.dll');
DeleteFile('zoox1.dll');
DeleteFile('C:\WINDOWS\system32\mscorews.dll');
ClearHostsFile;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
2. Пофиксить оставшиеся строчки:
Код:
O2 - BHO: Shell Search Engine and Control Microsoft - {0000DE80-AEC3-70C3-4176-CE509063E000} - C:\WINDOWS\system32\mscorews.dll (file missing)
O2 - BHO: Shell Browser Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - C:\WINDOWS\system32\browsemu.dll (file missing)
O2 - BHO: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll (file missing)
O2 - BHO: H - {83E915D4-DDDB-4450-B957-7A3240E9CE66} - zoox1.dll (file missing)
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe
O20 - AppInit_DLLs: e1.dll w3sskbda.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: flballoon - flwzx.dll (file missing)
O20 - Winlogon Notify: jgdwadsn - C:\WINDOWS\system32\jgdwadsn.dll (file missing)
O22 - SharedTaskScheduler: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll (file missing)
The worst foe lies within the self...
-
-
Full Member
- Вес репутации
- 64
карантин закачан. Сейчас пофиксю строчки!:-) А логи новые выполнять, присылать?
Добавлено через 4 минуты
пофиксил строчки!:-)
Добавлено через 11 минут
Люди добрые!Не забывайте про меня!По-моему, до конца комп не чист, очень жду от вас помощи!:-)
Последний раз редактировалось ghostil; 26.07.2007 в 16:16.
Причина: Добавлено сообщение
-
Мы не забываем о Вас.
Загружаться в нормальном режиме можете?
Логи повторите, посмотрим..
The worst foe lies within the self...
-
-
Full Member
- Вес репутации
- 64
логи повторяю. Загрузиться пытался, но, когда начинаю выполнять какую-либо программу в "Обычном режиме", то опять "висит". Диспетчер задач по-прежнему не появляется.
-
Full Member
- Вес репутации
- 64
вот получившееся логи!Спасибо за помощь!Жду от Вас ответов и советов!:-)
Последний раз редактировалось ghostil; 09.10.2007 в 20:15.
-
Сделайте пожалуйста дополнительный лог для безопасного режима.
The worst foe lies within the self...
-
-
Full Member
- Вес репутации
- 64
Вот дополнительный лог. Надеюсь, он даст более полное представление о случившемся!
Последний раз редактировалось ghostil; 09.10.2007 в 20:15.
-
Удалены:
Trojan.Win32.Pakes.bf - Kaspersky
Win32/Rootkit.Agent.NCR - NOD32v2
Выполните еще такой скрипт:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\yatool.dll','');
QuarantineFile('C:\WINDOWS\system32\wbemz.exe srv','');
QuarantineFile('C:\WINDOWS\system32\icf.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine-11350.zip');
end.
Карантин прислать по правилам.
Добавлено через 35 минут
Сообщение от
ghostil
Диспетчер задач по-прежнему не появляется.
Выполните в AVZ "Файл"->"Восстановление системы"
Пункты 6,9,11.
Последний раз редактировалось Kuzz; 26.07.2007 в 17:36.
Причина: Добавлено сообщение
The worst foe lies within the self...
-
-
Full Member
- Вес репутации
- 64
Прошу прощения, что так долго молчал - отвлекли по сторонним делам. Только сейчас добрался до компьютера. Скрипт выполнил, карантин закачал. Жду дальнейших указаний! :-)
Добавлено через 1 минуту
Восстановление системы тоже сделал. Сейчас попробую войти в Windows в "Обычном режиме".
Добавлено через 6 минут
Попытался из Обычного режима загрузить компьютер, но всё равно, подвисает и Диспетчер задач не выводится, хоть убей. Вот такие дела. :-(
Последний раз редактировалось ghostil; 26.07.2007 в 18:40.
Причина: Добавлено сообщение
-
Вот что думает Вирустотал о присланом: http://virusinfo.info/showpost.php?p...&postcount=234
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\yatool.dll');
QuarantineFile('C:\WINDOWS\system32\wbemz.exe','');
DeleteFile('C:\WINDOWS\system32\icf.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если файл wbemz.exe попадет в карантин - пришлите его.
У Вас 2 антивируса?
Видны файлы Симантека/Нортона и ДрВеб-а.
The worst foe lies within the self...
-
-
Full Member
- Вес репутации
- 64
Карантин закачал, поскольку указанный вами файлик там был обнаружен. Но вот по поводу антивирусов - странно. С симантеком всё верно. А вот по поводу Др. Веба - у меня только утилита стоит, та самая CureIt!
Добавлено через 7 минут
Мда, что-то висит комьютер в Обычном режиме :-)
Последний раз редактировалось ghostil; 26.07.2007 в 19:05.
Причина: Добавлено сообщение
-
Повторите логи, пожалуйста.
Судя по:
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe
что-то от него осталось.
Об этой строчке можете что-то сказать?
Код:
O24 - Desktop Component 0: (no name) - http://www.thailandopen.org/tournament_images/gallery-2006-09-27/img04_b.jpg
Если она Вам знакома (Вы установили фоном рабочего стола рисунок из и-нэта), то в приведённом ниже перечне последнюю строку - пропустить.
Пофиксить:
Код:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://rus.slo.ru/
O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\system32\yatool.dll
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe
O23 - Service: MS Software Shadow Copy Provider SwPrvPlugPlay (SwPrvPlugPlay) - Unknown owner - C:\WINDOWS\system32\wbemz.exe (file missing)
O24 - Desktop Component 0: (no name) - http://www.thailandopen.org/tournament_images/gallery-2006-09-27/img04_b.jpg
Добавлено через 52 секунды
ДНС сервер Вашей сети 192.168.1.1 ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BB0CE3-92F2-440D-BFBF-3B1B1CD7C442}: NameServer = 192.168.1.1
Последний раз редактировалось Kuzz; 26.07.2007 в 19:26.
Причина: Добавлено сообщение
The worst foe lies within the self...
-
-
Full Member
- Вес репутации
- 64
да, действительно, почему-то Dr.Web частично остался. Хм, странно. Строчки и пофиксил, сейчас делаю логи и выложу. Извините, что вчера исчез - работой завалили, до 10 вечера не мог добраться до компьютера, а потом домой поехал. Силы уже кончились. :-)
-
Full Member
- Вес репутации
- 64
Вот сделал логи. Посмотрите, пожалуйста. Буду вам очень признателен. :-)
Последний раз редактировалось ghostil; 09.10.2007 в 20:15.
-
Full Member
- Вес репутации
- 64
и вот дополнительный лог, на всякий пожарный :-)
Последний раз редактировалось ghostil; 09.10.2007 в 20:15.
-
Full Member
- Вес репутации
- 64
Да, DNS-server сети 192.168.1.1
Добавлено через 54 минуты
Я прошу прощения, что спрашиваю, но Вы помните о моей проблеме?Или компьютер уже вылечен?:-)
Добавлено через 27 минут
Люди!Вы меня видите?Почему вы так долго молчите?Я уже начинаю нервничать!;-)
Последний раз редактировалось ghostil; 27.07.2007 в 11:34.
Причина: Добавлено сообщение
-
Мы помним о Вашей проблме.
Просто мы тоже бываем завалены работой.
Логи сейчас посмотрю.
Добавлено через 27 минут
Хм, кроме присутствия этой строки:
O23 - Service: MS Software Shadow Copy Provider SwPrvPlugPlay (SwPrvPlugPlay) - Unknown owner - C:\WINDOWS\system32\wbemz.exe (file missing)
ничего подозрительного не вижу.
Есть предположение: при повреждении Симантека его процесс Rtvscan.exe начинает забирать все процессорное время.
Последний раз редактировалось Kuzz; 27.07.2007 в 12:04.
Причина: Добавлено сообщение
The worst foe lies within the self...
-
-
Full Member
- Вес репутации
- 64
Да я понимаю, что и у вас работы куча. Поэтому и извиняюсь. Просто напомнил о себе. :-) А что можно сделать с этим процессом?Может мне его просто удалить и заново установить Симантек?
Добавлено через 2 минуты
И ещё, мне вами указанную строчку пофиксить?
Последний раз редактировалось ghostil; 27.07.2007 в 12:34.
Причина: Добавлено сообщение
-
-