Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

При запуске стандартных скриптов в AVZ комп перезагружается (заявка № 16089)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60

    Thumbs up При запуске стандартных скриптов в AVZ комп перезагружается

    Здравствуйте, с праздниками!
    Не могу выполнить пункт 8 правил, так как AVZ не завершает работу ("Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info") - происходит перезагрузка и никакого LOG.

    В перспективе лечение от целого букета троянов - smtpdrv.sys, smtpdrv.exe, ip6fw.sys, jto22.sys, bbv34.sys, qlj31.sys и пр. Это то, что Dr.Web нашел и удалил, обозначив как Backdoor.Bulknet и Trojan.NTRootkit (но они возвращаются). smtpdrv.exe удалить не может даже в Safe Mode и с правами администратора.

    P.S. Извиняюсь, если это дубль предыдущего поста. Страница не отобразилась, и моя тема, по-моему, потерялась.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    два других лога можете сделать ?

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60
    два других сделал.
    Вложения Вложения

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1. Выполните в АВЗ ...

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('D:\WINDOWS\System32\drivers\runtime.sys','');
     DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
     Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
    BC_ImportAll;
    BC_DeleteSvc('Ip6Fw');
    BC_DeleteSvc('runtime');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    компьютер перезагрузится.

    2. Выполните этот скрипт в АВЗ ...

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('D:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe','');
     QuarantineFile('D:\Program Files\Common Files\GMT\GMT.exe','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Ffh48.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Qlj31.sys','');
     QuarantineFile('Ouf43.sys','');
     QuarantineFile('d:\program files\internet explorer\iexplore.exe','');
     QuarantineFile('d:\windows\system32\svchost.exe','');
     QuarantineFile('sysfldr.dll','');
     QuarantineFile('D:\WINDOWS\system\cmicnfg.cpl','');
     QuarantineFile('deskey.dll','');
     QuarantineFile('avi32.dll','');
     QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('D:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
     QuarantineFile('D:\WINDOWS\system32\drivers\ctl_w32.sys','');
     DeleteFile('D:\WINDOWS\system32\drivers\ctl_w32.sys');
     DeleteFile('D:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     DeleteFile('D:\WINDOWS\system32\ntos.exe');
     DeleteFile('deskey.dll');
     DeleteFile('sysfldr.dll');
     DeleteFile('D:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_ImportAll;
    BC_DeleteFile('D:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    3. Загрузите карантин согласно пункта 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16089

    4. Профиксите ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
    O2 - BHO: (no name) - {4AD6ACB0-1378-1FAD-2974-39B60915ACCB} - D:\WINDOWS\system32\vrnpvsg.dll (file missing)
    O2 - BHO: (no name) - {C65F1640-A6D4-A70E-8A0B-8EADD9B87291} - (no file)
    O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
    O20 - Winlogon Notify: deskey - deskey.dll (file missing)
    аовторите логи.
    Последний раз редактировалось wise-wistful; 08.01.2008 в 01:27.

  6. #5
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60
    Два предложенных скрипта выполнил.
    Параллельно с каждой перезагрузкой SpiderGuard сообщал о том, что он исцелил smtpdrv.sys и прочие. Причем не один раз.

    Карантин пытался загрузить по ссылке. После нажатия по кнопке страничка повисела и выбросила на бланк "не могу отобразить". Так что не уверен, что карантин дошел по месту назначения.

    Пофиксить смог только две строки из пяти. Первой (F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe) просто не было. Две, начинающиеся как (O20 - Winlogon Notify заканчивались по-другому, а именно: вместо file missing - D:\WINDOWS. Не стал фиксить.

    Повторил логи. Лог №1 по-прежнему вызывает перезагрузку. 2 остальных прилагаются.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    хорошая коллекция ...
    выполните скрипт....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Qlj31.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Ito22.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\ctl_w32.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Bbv34.sys','');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Ffh48.sys','');
     DeleteFile('D:\WINDOWS\system32\Drivers\Ffh48.sys');
     DeleteFile('Ouf43.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Bbv34.sys');
     DeleteFile('D:\WINDOWS\system32\drivers\ctl_w32.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Ito22.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Qlj31.sys');
     DeleteFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Ffh48');
     BC_DeleteSvc('Ito22');
     BC_DeleteSvc('ctl_w32');
     BC_DeleteSvc('Bbv34');
     BC_DeleteSvc('Qlj31');
     BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите кврантин согласно приложения 3 правил...
    повторите логи ..

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Пофиксите вот это:
    Код:
    O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe
    O20 - Winlogon Notify: arm32reg - D:\WINDOWS\
    O20 - Winlogon Notify: deskey - D:\WINDOWS\
    O20 - Winlogon Notify: sysfldr - D:\WINDOWS\

  9. #8
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60
    Скрипт выполнил. Карантинную папку заархивировал, но по-моему она не изменилась. Файлы те же и дата создания у них старая. Сейчас вышлю по ссылке.

    4 строки пофиксил.

    2 возможных лога прилагается.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Что-то опять все на месте. У вас скрипт нормально выполнялся или резко уходил на перезагрузку без каких-либо сообщений?

    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: igfxnet - avi32.dll (file missing)
    O21 - SSODL: ExEng - {9D98B9E2-FD19-4F21-AE98-08A32A9049BE} - (no file)
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Ffh48');
     StopService('Ouf43');
     DeleteFile('D:\WINDOWS\system32\Drivers\Ffh48.sys');
     DeleteFile('D:\WINDOWS\system32\Drivers\Ouf43.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('Ouf43');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Ffh48');
     BC_DeleteSvc('Ito22');
     BC_DeleteSvc('ctl_w32');
     BC_DeleteSvc('Bbv34');
     BC_DeleteSvc('Qlj31');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60
    Да, точно. Скрипт вылетает на перезагрузку без окошка "Выполнен без ошибок". Так же, как при попытке создать лог №1 (лечение/карантин и сбор инфы). Видимо, скрипт в посте #6 тоже не сработал, просто я не заметил разницы в перезагрузке.
    2 строчки пофиксил. Логи в прил.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачать ...
    - отключить антивирус и фаервол
    - оключиться от интернета
    tools - wipe/copy file - browse и находим файл D:\WINDOWS\system32\Drivers\Ffh48.sys (тоже самое и для Ouf43.sys) ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
    затем выполните скрипт ....
    повторите последний лог авз ...

  13. #12
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60
    Простите, я, прежде чем начать, хотел уточнить. У меня стоит Dr. Web со всеми Spider'ами. Они в фоновом режиме что-то там ловят. Как их отключить, я не понял. Могу насильно выкинуть из процессов в Диспетчере задач все, что начинается на spider, но значки в трее после этого остаются как ни в чем не бывало.

    И нужно ли также выключать Брандмауэр Win XP Pro SP2?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    для надежности сделайте все в safe mode ...

  15. #14
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60
    Скачал и установил Rootkit Unhooker (устанавливал уже в Safe Mode).

    При запуске окно: "Rootkit Unhooker has detected parasite inside itself! Recommended to remove. Parasite type: Unknown remote thread. Thread ID: 1184. Priority: 8". Жму OK.

    Следующее окно: "Parasite removed, continue loading", и сразу:

    "Error loading/opening driver". При повторных попытках четырехзначное Thread ID все время меняется, но результат одинаков.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    На время установки антивирус отключали? Он обычно ругается на инсталляцию подозрительного драйвера

    Добавлено через 2 минуты

    Либо попробуйте выполнить в обычном режиме...
    Последний раз редактировалось rubin; 08.01.2008 в 14:00. Причина: Добавлено

  17. #16
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60
    Выполнил 2 скрипта (от V_Bond и Bratez) в Safe Mode. Успешно. Лог о сборе инфы в прил.

    Отключил SpiderGuard и SpiderMail (через Панель управления). Установил RootkitUnHooker в обычном режиме без и-нета и антивирусов. Сообщение о паразите внутри то же, но после того, как он его уничтожил, программа продолжила работать. Файлов, указанных в сообщении V_Bond (Ffh48.sys и Ouf43.sys), не обнаружил.
    Вложения Вложения
    Последний раз редактировалось noodles; 08.01.2008 в 14:18. Причина: добавлено

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Уже значииительно чище
    Пришлите по правилам
    H:\autorun.inf

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    ... Про авторан опоздал чуть-чуть ...

    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    11
    Вес репутации
    60
    Авторан.инф отправил. Это флешка, так как я запарился работать с и-нетом на зараженном компе (тормозит нереально из-за левого трафика) и воткнул его в ноутбук, а файлы на флешке переношу. Spider сказал мне уже, что флешка заражена (setup.exe) тем же самым, но сам удалил его и теперь вроде не жалуется.

    Из предоставленного списка мне наверно важен только "административный доступ к локальным дискам", так как сейчас работаю из-под Администратора. Остальное, особенно что касается служб, мне как ламеру ничего не говорит Комп домашний, многопользовательский, системасистиков среди пользователей нет. Так что лучше проще, но безопаснее.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Угу, запускает setup.exe...
    Удалите еще и сам авторан, раз зверька уже прибили

    административный доступ к локальным дискам - это нужно только в локальной сети, поэтому можно и его отключить

    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

  • Уважаемый(ая) noodles, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 20.10.2011, 21:44
    2. Перезагружается компьютер, при запуске IE
      От amurlynx в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.06.2011, 17:44
    3. AVZ!!! При запуске AVZ комп перезагружается.
      От mihman в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.05.2010, 07:18
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00826 seconds with 20 queries