Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Не могу прогнать скрипт (заявка № 13353)

  1. #1
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41

    Exclamation Не могу прогнать скрипт

    Здравствуйте! На компьютере куча всяких троянов: Haxdoor, BackDoor, Downloader и т.д. Решил выполнить скрипт (№3) обычном режиме, чтобы Вас выслать. Но, как только начинается проверка дисков, появляется синий "экран смерти". Когда я выполняю тот же скрипт в Safe Mode, он выполняется, выдавая кучу разных вирусов. Не подскажете, что можно сделать, чтобы я мог выполнить скрипт в обычном режиме?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация
    Регистрация
    24.11.2006
    Адрес
    град Москва
    Сообщений
    80
    Вес репутации
    42
    А Cureit`ом полную проверку делали?

  4. #3
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    нет, только экспресс, сейчас сделаю :-)

  5. #4
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    Сделал я полную проверку CureIt'ом. AVZ смог выполнять скрипты в обычном режиме. Но вот сама система в обычном режиме ужасно тормозит. Ещё начала выскакивать ошибка приложения Winlogo.exe. Нажимаю Ok - перезагрузка, нажимаю Отмена - синий "экран смерти". В безопасном режиме с загрузкой сетевых драйверов та же ошибка выскакивает. А вот в просто безопасном режиме такой ошибки нет. А ни на одну из этих кнопок не нажимаю, то компьютер продолжает работу. :-) Посмотрите, пожалуйста, логи.
    Последний раз редактировалось ghostil; 11.03.2008 в 11:09.

  6. #5
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    ой, ошибка приложения winlogon.exe, не дописал, прошу прощения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выплните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\kernel .exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ytua47.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\wualcskw.sys','');
     QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
     QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat','');
     QuarantineFile('C:\WINDOWS\system32\tmpf00.exe','');
     QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
     QuarantineFile('C:\WINDOWS\system32\dsaut.dll','');
     QuarantineFile('C:\Temp\sch16.dll','');
     QuarantineFile('C:\Temp\doldbal.dll','');
     DeleteFile('C:\Temp\doldbal.dll');
     DeleteFile('C:\Temp\sch16.dll');
     DeleteFile('C:\WINDOWS\system32\dsaut.dll');
     DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
     DeleteFile('C:\WINDOWS\system32\tmpf00.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat');
     DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
     DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Ytua47.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\kernel .exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Добавлено через 46 секунд

    После перезагрузки пришлите карантин по правилам и сделайте новые логи.
    Последний раз редактировалось Bratez; 19.10.2007 в 16:25. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
    O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('ovrscn.dll','');
     QuarantineFile('C:\WINDOWS\kernel2.exe','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\Program Files\WinAble\winable.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('Ytua47.sys','');
     QuarantineFile('wualcskw.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\ovwscn.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\ovrscn.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\Drivers\eunfmquh.dat','');
     QuarantineFile('C:\WINDOWS\system32\dsaut.dll','');
     QuarantineFile('C:\WINDOWS\system32\tmpf00.exe','');
     QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
     QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
     QuarantineFile('C:\Temp\sch16.dll','');
     QuarantineFile('C:\Temp\doldbal.dll','');
     QuarantineFile('c:\windows\system32\tmpf00.exe','');
     DeleteFile('c:\windows\system32\tmpf00.exe');
     DeleteFile('C:\Temp\doldbal.dll');
     DeleteFile('C:\Temp\sch16.dll');
     DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
     DeleteFile('C:\WINDOWS\system32\tmpf00.exe');
     DeleteFile('\??\C:\WINDOWS\system32\ovrscn.sys');
     DeleteFile('\??\C:\WINDOWS\system32\ovwscn.sys');
     DeleteFile('Ytua47.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\Program Files\WinAble\winable.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\kernel2.exe');
     DeleteFile('C:\WINDOWS\kernel%32.exe');
     DeleteFile('C:\WINDOWS\kernel .exe');
     DeleteFile('c:\windows\system32\klogini.dll');
     DeleteFile('c:\windows\system32\fltr.a3d');
     DeleteFile('c:\windows\system32\i.a3d'); 
     DeleteFile('c:\windows\system32\p2.ini');
     DeleteFile('c:\windows\system32\redir.a3d');
     DeleteFile('c:\windows\system32\tnfl.a3d');
     DeleteFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat');
     DeleteFile('ovrscn.dll');
     DeleteFile('wualcskw.sys');
     DelWinlogonNotifyByFileName('ovrscn.dll '); 
     BC_DeleteSvc('Ytua47');  
     BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
     end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи...

    Добавлено через 4 минуты

    .... опередили чуть ... ну думаю стоит выполнить оба скрипта по очереди ... для надежности так сказать ...
    Последний раз редактировалось V_Bond; 19.10.2007 в 16:34. Причина: Добавлено

  9. #8
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    сейчас сделаю :-) Спасибо!

  10. #9
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    Здравствуйте! Я сейчас закачал карантин. Сейчас выполню логи!:-)

  11. #10
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    Не получилось у меня выполнить скрипты в обычном режиме. Поэтому выполнил указания для сбора информации в "Безопасном режиме". Вот выкладываю получившийся файл.
    Последний раз редактировалось ghostil; 11.03.2008 в 11:09.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    1 вы скрипты выполняли ?
    2 нужно присылать HTM файлы ...

  13. #12
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    выполнял, конечно, так я же и прислал HTM файл, разве нет?:-(

    Добавлено через 1 минуту

    правда, выполнял я их в безопасном режиме, потому что а обычном он не грузился
    Последний раз редактировалось ghostil; 23.10.2007 в 15:10. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    1 скрипт из сообщения 7 ?
    2 ві прислали XML файл....

    Добавлено через 3 минуты

    выполните скрипт ...
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ytua47','Start');
     RebootWindows(true); 
    end.
    а затем скрипты из сообщений 6 и7 .... затем сделайте дополнительный лог ...
    Последний раз редактировалось V_Bond; 23.10.2007 в 15:24. Причина: Добавлено

  15. #14
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    я имею в виду, что скрипты не выполнял

    Добавлено через 1 минуту

    да, я оба скрипта выполнил и пофиксил.
    а вот за неправильный формат файла извините, пожалуйста, не уследил.
    сейчас выполню скрипт.
    Последний раз редактировалось ghostil; 23.10.2007 в 15:25. Причина: Добавлено

  16. #15
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    вот выполнил скрипты. Но логи в обычном режиме, всё равно, не выполняются - виснет компьютер. Так что провёл исследование системы. Посмотрите, пожалуйста, получившийся лог.
    Последний раз редактировалось ghostil; 11.03.2008 в 11:09.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('system32\DRIVERS\tcpip.sys','');
     QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('\SystemRoot\system32\drivers\wualcskw.dat','');
     QuarantineFile('Hbeisrpntmo.sys','');
     QuarantineFile('wualcskw.dat','');
     DeleteFile('System32\DRIVERS\smtpdrv.sys');
    BC_DeleteSvc('smtpdrv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

  18. #17
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    сейчас сделаю!:-)

    Добавлено через 12 минут

    лог выполнил, карантин закачал. Жду дальнейших указаний!:-)

    Добавлено через 38 секунд

    то есть скрипт выполнил, прошу прощения
    Последний раз редактировалось ghostil; 23.10.2007 в 16:51. Причина: Добавлено

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Забавно: вместо wualcskw.dat закарантинился wualcskw.sys - Rootkit.Win32.Agent.lj
    Выполните скрипт:
    Код:
    begin
     BC_DeleteSvc('anruzcup');
     BC_DeleteFile('C:\Windows\system32\drivers\wualcskw.dat');
     BC_DeleteFile('C:\Windows\system32\drivers\wualcskw.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    После этого попробуйте сделать стандартные логи + дополнительный.
    I am not young enough to know everything...

  20. #19
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    41
    сейчас выполню. Попробую сделать!

    Добавлено через 17 минут

    нет, не хочет выполнять стандартный скрипты - "висит". Причём, мне кажется, что всё это из-за ошибки приложения winlogon.exe, которую постоянно выдаёт при загрузке Windows.
    Последний раз редактировалось ghostil; 23.10.2007 в 17:20. Причина: Добавлено

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Попробуйте дополнительный лог сделать в нормальном режиме.
    I am not young enough to know everything...

  • Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 03.09.2010, 16:55
    2. sisgbi32.exe - как его прогнать?
      От Oliem в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 02.09.2010, 10:56
    3. Ответов: 2
      Последнее сообщение: 21.08.2008, 13:39
    4. скрипт
      От Masha в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.03.2008, 20:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00254 seconds with 16 queries