-
Full Member
- Вес репутации
- 64
Не могу прогнать скрипт
Здравствуйте! На компьютере куча всяких троянов: Haxdoor, BackDoor, Downloader и т.д. Решил выполнить скрипт (№3) обычном режиме, чтобы Вас выслать. Но, как только начинается проверка дисков, появляется синий "экран смерти". Когда я выполняю тот же скрипт в Safe Mode, он выполняется, выдавая кучу разных вирусов. Не подскажете, что можно сделать, чтобы я мог выполнить скрипт в обычном режиме?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Visiting Helper
- Вес репутации
- 64
А Cureit`ом полную проверку делали?
-
-
Full Member
- Вес репутации
- 64
нет, только экспресс, сейчас сделаю :-)
-
Full Member
- Вес репутации
- 64
Сделал я полную проверку CureIt'ом. AVZ смог выполнять скрипты в обычном режиме. Но вот сама система в обычном режиме ужасно тормозит. Ещё начала выскакивать ошибка приложения Winlogo.exe. Нажимаю Ok - перезагрузка, нажимаю Отмена - синий "экран смерти". В безопасном режиме с загрузкой сетевых драйверов та же ошибка выскакивает. А вот в просто безопасном режиме такой ошибки нет. А ни на одну из этих кнопок не нажимаю, то компьютер продолжает работу. :-) Посмотрите, пожалуйста, логи.
Последний раз редактировалось ghostil; 11.03.2008 в 11:09.
-
Full Member
- Вес репутации
- 64
ой, ошибка приложения winlogon.exe, не дописал, прошу прощения
-
Выплните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\kernel .exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ytua47.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\wualcskw.sys','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat','');
QuarantineFile('C:\WINDOWS\system32\tmpf00.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\dsaut.dll','');
QuarantineFile('C:\Temp\sch16.dll','');
QuarantineFile('C:\Temp\doldbal.dll','');
DeleteFile('C:\Temp\doldbal.dll');
DeleteFile('C:\Temp\sch16.dll');
DeleteFile('C:\WINDOWS\system32\dsaut.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\tmpf00.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Ytua47.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\kernel .exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Добавлено через 46 секунд
После перезагрузки пришлите карантин по правилам и сделайте новые логи.
Последний раз редактировалось Bratez; 19.10.2007 в 17:25.
Причина: Добавлено
I am not young enough to know everything...
-
-
пофиксите ...
Код:
O4 - HKLM\..\Run: [C:\WINDOWS\kernel%32.exe] C:\WINDOWS\kernel%32.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\b ot.dll (file missing)
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\kernel2.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Program Files\WinAble\winable.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('Ytua47.sys','');
QuarantineFile('wualcskw.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\eunfmquh.dat','');
QuarantineFile('C:\WINDOWS\system32\dsaut.dll','');
QuarantineFile('C:\WINDOWS\system32\tmpf00.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsvv.exe','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
QuarantineFile('C:\Temp\sch16.dll','');
QuarantineFile('C:\Temp\doldbal.dll','');
QuarantineFile('c:\windows\system32\tmpf00.exe','');
DeleteFile('c:\windows\system32\tmpf00.exe');
DeleteFile('C:\Temp\doldbal.dll');
DeleteFile('C:\Temp\sch16.dll');
DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\system32\tmpf00.exe');
DeleteFile('\??\C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('\??\C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('Ytua47.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\Program Files\WinAble\winable.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\kernel2.exe');
DeleteFile('C:\WINDOWS\kernel%32.exe');
DeleteFile('C:\WINDOWS\kernel .exe');
DeleteFile('c:\windows\system32\klogini.dll');
DeleteFile('c:\windows\system32\fltr.a3d');
DeleteFile('c:\windows\system32\i.a3d');
DeleteFile('c:\windows\system32\p2.ini');
DeleteFile('c:\windows\system32\redir.a3d');
DeleteFile('c:\windows\system32\tnfl.a3d');
DeleteFile('C:\WINDOWS\system32\Drivers\eunfmquh.dat');
DeleteFile('ovrscn.dll');
DeleteFile('wualcskw.sys');
DelWinlogonNotifyByFileName('ovrscn.dll ');
BC_DeleteSvc('Ytua47');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи...
Добавлено через 4 минуты
.... опередили чуть ... ну думаю стоит выполнить оба скрипта по очереди ... для надежности так сказать ...
Последний раз редактировалось V_Bond; 19.10.2007 в 17:34.
Причина: Добавлено
-
-
Full Member
- Вес репутации
- 64
сейчас сделаю :-) Спасибо!
-
Full Member
- Вес репутации
- 64
Здравствуйте! Я сейчас закачал карантин. Сейчас выполню логи!:-)
-
Full Member
- Вес репутации
- 64
Не получилось у меня выполнить скрипты в обычном режиме. Поэтому выполнил указания для сбора информации в "Безопасном режиме". Вот выкладываю получившийся файл.
Последний раз редактировалось ghostil; 11.03.2008 в 11:09.
-
1 вы скрипты выполняли ?
2 нужно присылать HTM файлы ...
-
-
Full Member
- Вес репутации
- 64
выполнял, конечно, так я же и прислал HTM файл, разве нет?:-(
Добавлено через 1 минуту
правда, выполнял я их в безопасном режиме, потому что а обычном он не грузился
Последний раз редактировалось ghostil; 23.10.2007 в 16:10.
Причина: Добавлено
-
1 скрипт из сообщения 7 ?
2 ві прислали XML файл....
Добавлено через 3 минуты
выполните скрипт ...
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ytua47','Start');
RebootWindows(true);
end.
а затем скрипты из сообщений 6 и7 .... затем сделайте дополнительный лог ...
Последний раз редактировалось V_Bond; 23.10.2007 в 16:24.
Причина: Добавлено
-
-
Full Member
- Вес репутации
- 64
я имею в виду, что скрипты не выполнял
Добавлено через 1 минуту
да, я оба скрипта выполнил и пофиксил.
а вот за неправильный формат файла извините, пожалуйста, не уследил.
сейчас выполню скрипт.
Последний раз редактировалось ghostil; 23.10.2007 в 16:25.
Причина: Добавлено
-
Full Member
- Вес репутации
- 64
вот выполнил скрипты. Но логи в обычном режиме, всё равно, не выполняются - виснет компьютер. Так что провёл исследование системы. Посмотрите, пожалуйста, получившийся лог.
Последний раз редактировалось ghostil; 11.03.2008 в 11:09.
-
выполните скрипт...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('system32\DRIVERS\tcpip.sys','');
QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('\SystemRoot\system32\drivers\wualcskw.dat','');
QuarantineFile('Hbeisrpntmo.sys','');
QuarantineFile('wualcskw.dat','');
DeleteFile('System32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
-
-
Full Member
- Вес репутации
- 64
сейчас сделаю!:-)
Добавлено через 12 минут
лог выполнил, карантин закачал. Жду дальнейших указаний!:-)
Добавлено через 38 секунд
то есть скрипт выполнил, прошу прощения
Последний раз редактировалось ghostil; 23.10.2007 в 17:51.
Причина: Добавлено
-
Забавно: вместо wualcskw.dat закарантинился wualcskw.sys - Rootkit.Win32.Agent.lj
Выполните скрипт:
Код:
begin
BC_DeleteSvc('anruzcup');
BC_DeleteFile('C:\Windows\system32\drivers\wualcskw.dat');
BC_DeleteFile('C:\Windows\system32\drivers\wualcskw.sys');
BC_Activate;
RebootWindows(true);
end.
После этого попробуйте сделать стандартные логи + дополнительный.
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
сейчас выполню. Попробую сделать!
Добавлено через 17 минут
нет, не хочет выполнять стандартный скрипты - "висит". Причём, мне кажется, что всё это из-за ошибки приложения winlogon.exe, которую постоянно выдаёт при загрузке Windows.
Последний раз редактировалось ghostil; 23.10.2007 в 18:20.
Причина: Добавлено
-
Попробуйте дополнительный лог сделать в нормальном режиме.
I am not young enough to know everything...
-