Показано с 1 по 9 из 9.

помогите дочистить (заявка № 13119)

  1. #1
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    61

    Exclamation помогите дочистить

    доброго времени суток.

    началось с того, что при загрузке машинки выдается алерт - "не могу завершить регистрацию". кто его генерит - непонятно. в логах винды - пусто, кроме ероров о невозможности запустить службу FCI, которая тоже неясно откуда взялась.

    службу отключил, после перезагрузки алерт не пропал.

    далее "по правилам":
    в сейф моде cureit нашел 13 троянов и бекдоров, после этого avz находит кроме 2 перехвачиков установленного симантека еще один, который не может определить...

    что еще осталось вычистить?
    есть варианты что за сервис fci?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mssjwsj.dll','');
     QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\regwiz.exe','');
     BC_DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     BC_DeleteFile('C:\WINDOWS\system32\mssjwsj.dll');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('msdndr');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить весь карантин через ссылку вверху темы.

    Добавлено через 1 минуту

    http://virusinfo.info/showthread.php?t=10387 - сделать лог в Safe Mode.
    Скрипт выполнять тоже в Safe Mode
    Последний раз редактировалось PavelA; 11.10.2007 в 17:47. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    61
    скрипт выполнил, лог создал.
    после перезагрузки алерт о невозможости закончить регистрацию остался.

    карантин и лог загрузил по правилам через ссылку верху страницы...
    на этом все или .. ?
    There is nothing either good or bad,
    but thinking makes it so

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нет. Подожди.
    Все враги живы плюс еще один. Выполняй вот этот в защищ. режиме и после него будет здесь же второй.
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\msdndr.sys','');
     BC_DeleteFile('C:\WINDOWS\system32\msdndr.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Второй:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     BC_DeleteFile('C:\WINDOWS\system32\mssjwsj.dll');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('msdndr');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После всего этого загрузить если что-то попадет в карантин.
    regwiz.exe не попал в карантин. Его найти через AVZ и прислать.

    Сделать новые логи. Логи прикреплять сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    61
    скрипты выполнил в сейфмоде.
    при выполнении 1го заметил что АВЗ пишет ошибку но не успел прочитать - машина ушла в ребут.

    при выполнении 2го - убрал из скрипта строчку RebootWindows(true)
    в конце лога выполнения - визуально та же ошибка:
    Код:
    Драйвер успешно загружен
    Ошибка обмена с драйвером  [00000002] - [1]
    тут же (без перезапуска):
    1. при попытке ручками стартануть AVZguard - не возможно.
    2. карантин пустой и добавить указнны файлы ручками - не дает:
    Код:
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\mssjwsj.dll)
     Карантин с использованием прямого чтения - ошибка
    3. Если посмотреть из порводника - то этих файлов нет.
    4. Зато нашел близкие по названию, которые запаковал зипом и удалил. архив - загрузил в тему (exe и dll файлам подчеркивания в расширении добавил я)

    После перезагрузки - алерт от "службы регистрации" пропал.
    Все логи сделал заново - приатачены к посту

    ЗЫ
    Спасибо за помощь. Я так понимаю что все?
    Последний раз редактировалось uceps; 17.10.2007 в 10:42. Причина: Добавлено
    There is nothing either good or bad,
    but thinking makes it so

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    пока логов не вижу.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    11.10.2007
    Сообщений
    24
    Вес репутации
    61

    логи №2

    все те же логи еще раз
    Вложения Вложения
    There is nothing either good or bad,
    but thinking makes it so

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ....
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\mssjwsj.dll
    выполните скрипт..
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\mssjwsj.dll');     
     DelWinlogonNotifyByFileName('mssjwsj.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите лог HijackThis

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)


  • Уважаемый(ая) uceps, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите вычистить
      От aliwas в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.08.2011, 12:05
    2. Помогите дочистить
      От Alexey_75 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.06.2011, 22:21
    3. помогите почистить
      От lanimret в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.03.2010, 23:34
    4. Помогите дочистить
      От Rcuif в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.02.2010, 20:13
    5. Помогите почистить
      От pribor в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 22.02.2009, 02:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01062 seconds with 18 queries