Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

нахватал пачками троянов и червей (заявка № 12400)

  1. #1
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38

    Thumbs up нахватал пачками троянов и червей

    все началось с того, что примерно с 08.09.07 комп стал вылетать при выходе в инет и самопроизвольно перезагружатся..
    также заметил что комп все время, пока в инете просто пачками что то куда то шлет и скачивает..
    при нажатии ctrl+alt+del выходило сообщение что запуск диспетчера задач запрещен админом, но эту беду я исправил, после того как в безопасном режиме запустил Dr.Web- CureIt, он что то там полечил, и я ручками исправил значение соответствующего ключа в реестре на 0 ..

    потом обнаружил, что
    не запускается после инсталляции Agnitum Outpost, также не инсталлируется Panda..
    потом винда перестала запускаться в безопасном режиме и в msconfig пропал раздел где было можно выбрать этот запуск в safemode..

    теперь жду вашей помощи) еще добавлю что в ближайшие три дня у меня под рукой не будет дистрибутива винды, для того чтобы какие то файлы менять/обновлять..
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\makehm.exe,
    2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\spooldr.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\makehm.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(10);
    ExecuteRepair(12);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12400

    3.насчёт outpost- вижу что работает, надо сначала удалить , почистить хвосты- а потом ставить его или другой.
    Тоже насчёт антивирусов- виден avast и битдефендер...

  4. #3
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    карантин выгрузил, используя опцию "отправить запрошенные файлы" в этой теме..так правильно?

    у меня по прежнему приходится запускать переименованный AVZ.exe и комп перезагружается когда пытаюсь cure it запустить..

    после выполнения скрипта пишет при загрузке что boot.ini неправильный и
    что винда грузит с C:\WINDOWS\чета там..
    так же все время идет проверка целостности диска, как если бы комп неожиданно вырубился..

    в msconfig по прежнему отсутствует раздел BOOT.ini, panda по прежнему не устанавливается, вылетает при инстале на 87%. outpost и avast пока снес. outpost вообще не отражался в системтрее, почему то.. в безопасном режиме он в трее висел но не открывался.

    еще учетные записи пользователей отключены по-прежнему
    Последний раз редактировалось Cloudberry; 12.09.2007 в 22:59.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Cloudberry Посмотреть сообщение
    карантин выгрузил, используя опцию "отправить запрошенные файлы" в этой теме..так правильно?
    Да.

    Насчет состояния дел:
    Пока еще мало чего удаляли. После проверки карантина будет продолжение.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    неужели все так грустно с присланным карантином, что такие паузы с ответами?..

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    У нас только Drongo может смотреть карантины по 8Мб. К сожалению, у меня, в частности, интернет не резиновый.
    Ответа из ЛК о проверке карантина я пока не получил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\SYSTEM32\spooldr.sys');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите по правилам файлы:
    C:\WINDOWS\system32\DRIVERS\tcpip.sys
    C:\WINDOWS\system32\ntoskrnl.exe

    Это будет быстрее, чем ждать, пока кто-то решит скачать 8Мб
    Если не трудно, можете сразу сделать свежий комплект логов.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    все сделал, но ntoskernel ни в какую не хочет добавляться в карантин через AVZ :\ стоит его добавить вручную к архиву?
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    давайте такой скрипт...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    полученный карантин пришлите по ссылке http://virusinfo.info/upload_virus.php?tid=12400

  11. #10
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    все та же фигня..он и через скрипт не добавляется!

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите
    Код:
    021 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     BC_ImportQuarantineList;
     BC_DeleteSvc('aspimgr');
     BC_Activate;
     RebootWindows(true);
    end.

  13. #12
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    в данном случае жать "Fix Checked" или Delete an NT Service ?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от Cloudberry Посмотреть сообщение
    все та же фигня..он и через скрипт не добавляется!
    да возьмите его и просто скопируйте (в тотал командер,фар и.т.д) в другой каталог заархивируйте с паролем и пришлите по ссылке....
    PS
    в данном случае жать "Fix Checked"

  15. #14
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    все карантин выслал. в одном архиве, сделанном avz, tcpip.sys, в другом - ntoskrnl.exe

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    C:\WINDOWS\system32\DRIVERS\tcpip.sys Trojan.Win32.Patched.ba
    необходимо заменить на чистый из дистрибутива .... замену производит в сафе моде...
    ntoskrnl.exe -судя по вирустотал чистый ... подождем что скажет вирлаб...

  17. #16
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    tcpip.sys заменил - все норм!)
    стали работать перезагрузка в сэйф режиме
    и учетные записи пользователей запускаются)

    правда в мсконфиге по прежнему раздел boot.ini отсутствует и винда при загрузке пишет "неправильный boot.ini "

    авз.экзе теперь запускается нормально со своим прямым именем) и запуск cureit в обычном режиме винды не перегружает систему

    еще один мелкий глюк - напрочь пропал значок переключения языков на панели задач..хоть ставь галочку хоть нет - без разницы..

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    правда в мсконфиге по прежнему раздел boot.ini отсутствует и винда при загрузке пишет "неправильный boot.ini "
    Значит, ваш бут.ини поврежден или отсутствует.
    Попробуйте создать его с таким содержимым:
    Код:
    [boot loader]
    timeout=10
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    Цитата Сообщение от Bratez Посмотреть сообщение
    Попробуйте создать его с таким содержимым:
    Код:

    [boot loader]
    timeout=10
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
    [operating systems]
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional RU" /noexecute=optin /fastdetect
    это в сам boot.ini вбивать?

    у меня конкретно пишет
    "неправильный файл boot.ini
    загрузка с C:\WINDOWS\ "

    Добавлено через 6 минут

    и еще бы знать в каком месте этот boot.ini находится..)
    Последний раз редактировалось Cloudberry; 14.09.2007 в 17:57. Причина: Добавлено

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    boot.ini - простой текстовый файл (скрытый) в корне загрузочного диска.
    Если он у вас есть, удалите, раз он все равно неправильный.
    Отключите в свойствах папки "Скрывать расширения зарегистрированных".
    Создайте новый файл блокнотом и скопируйте туда текст в рамке.
    Сохраните файл как C:\boot.ini
    Пробуйте перезагрузку.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    17
    Вес репутации
    38
    при попытке зайти через дополнительно -> загрузка и восстановление -> параметры -> правка.

    пишет что "невозможно открыть c:\ boot.ini параметры загружаемой операц. системы и таймаута невозможно изменить"

    Добавлено через 46 секунд

    все, прочел, вник, пробую)

    Добавлено через 1 час 10 минут

    создал boot.ini с указанной выше начинкой. все норм)
    панелька языков после небольшой пляски с бубном тоже проявилась..)

    что еще осталось сделать, уважаемые?)
    Последний раз редактировалось Cloudberry; 14.09.2007 в 19:15. Причина: Добавлено

  • Уважаемый(ая) Cloudberry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на червей и троянов
      От eppa в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.02.2010, 09:51
    2. последствия червей и троянов
      От BrachoSancho в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:25
    3. Нахватал троянов из интернета
      От Stewart little в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.01.2009, 00:14
    4. Боюсь троянов и червей...
      От LitviN70 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.07.2008, 11:59
    5. Чистка компьютера после троянов/червей
      От Mugen в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.04.2008, 12:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01409 seconds with 17 queries