Помогите с троянами
Помогите с троянами
Последний раз редактировалось zock; 29.09.2007 в 10:57.
virusinfo_cure.zip - уберите из темы это карантин
выполните скрипт
пришлите карантин согласно приложения 3 правил... повторите логи...Код:begin QuarantineFile('C:\WINDOWS\Temp\~00754.tmp',''); QuarantineFile('c:\DriverLoad\windrv0.exe',''); BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
карантин загрузился?
да , но ничего не попало в карантин, повторите логи....
Вот логи ещё раз. Сейчас загружу новый карантин. Там есть 2 файла.
Последний раз редактировалось Shu_b; 27.09.2007 в 08:03.
virusinfo_cure.zip - это карантин его прикреплять нельзя ... нужен virusinfo_syscure.zip ...
сорри.
у меня нет такого файла. И в прошлый раз не было. Наверно поэтому я не то прикрепил.
пофиксите ..
выполните скрипт...Код:O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\WINDOWS\Temp\~00754.tmp (file missing) O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\Temp\~00754.tmp (file missing) O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\DriverLoad\windrv0.exe O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\DriverLoad\windrv0.exe O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\DriverLoad\windrv0.exe
повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('c:\DriverLoad\windrv0.exe'); DeleteFile('C:\WINDOWS\Temp\~00754.tmp'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
При выполнении скрипта вылезает ошибка Failed to set data for 'DisplayName'
попробуйте выполнить в Safe Mode ....
Только что выполнил первый из нужных стандартных скриптов. По-прежнему нет файла virusinfo_syscure.zip. В прцессе работы на шаге 1 появляетяс строка Ошибка в работе антируткита Access violation. Возможно из-за этого и не появляется файл. Щас перегружусь и выложу лог
Вот что получилось
Попробовать AVZPM поставить в AVZ и сделать ещё раз логи.
Уверен, что под админом делается ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
точно под админом. Проверил это ещё раз.
AVZPM поставил, перегрузился. В начале выполнения первого скрипта опять появилась ошибка в работе антируткита [Range check error], шаг [11] Не уверен, что будет лог
Скорее не будет ;(
очень странно, 2 пункт правил выполнить и сделать лучше такой лог : http://virusinfo.info/showthread.php?t=10387
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
действиетельно нет файла virusinfo_syscure.zip
Никто не спрашивал, но в начале очень много функций перехватывается из файлов kernel32.dll, ntdll.dll и user32.dll
Добавлено через 6 минут
лог делать в обычном или безопасном режиме?
Последний раз редактировалось zock; 29.09.2007 в 13:20. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
ну и задали работку. проверено 20%. Завтра к вечеру наверно cureit закончит. Хотя с радостью нашел 2 вируса в карантине AVZ.
при создании логов я закрывал NOD32. Но его ядро оставалось в памяти, так как оно грузится как служба. Это может влиять?
кстати, некоторое время назад мне пришлось отключить монитор NOD, так как при его включении винда вываливалась в синий экран или перегружалась. Очевидно NOD пытался зарегистрировать себя при перехвате некоторых функций, конфликтовал с вирусом и в синий экран.
Лог будет завтра. CureIT в карантине нашёл Trojan.NtRootkit.321 и BackDoor.Bulknet
Уважаемый(ая) zock, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.