amvo.exe, Brontok.
Посмотрите пожалуйста, что осталось вредоносного.
И вылечился ли Brontok? (в процессах вроде удалились Services, Lsass..., да и кучи подобий папок, тоже исчезли)
amvo.exe, Brontok.
Посмотрите пожалуйста, что осталось вредоносного.
И вылечился ли Brontok? (в процессах вроде удалились Services, Lsass..., да и кучи подобий папок, тоже исчезли)
Последний раз редактировалось Еретик; 01.02.2008 в 23:06.
Вот логи))
Это после второй очистки. После первой не сохранился почему-то файл syscure
Последний раз редактировалось pig; 02.02.2008 в 01:13. Причина: Восстановил, чтобы логи вернулись :)
Так а логи то где?
Не понял шутки. Логи были потом Вы их удалили. Можно спросить причину, там зверья хватает.
Последний раз редактировалось wise-wistful; 01.02.2008 в 23:19. Причина: Добавлено
щас будут самому смешно.
Добавлено через 3 минуты
hijackthis.log:
Вы уже вложили этот файл в теме
virusinfo_syscheck.zip:
Вы уже вложили этот файл в теме
virusinfo_syscure.zip:
Вы уже вложили этот файл в теме
А ведь просто хотел сделать по-человечески. Отредактировать и вставить в первое сообщение
Последний раз редактировалось Еретик; 01.02.2008 в 23:25. Причина: Добавлено
Будем надеяться, что Вы вылаживали те же логи
Выполните в АВЗ
Загрузите карантин согласно п.3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}'); QuarantineFile('%systemroot%\inf\nlite.cmd',''); QuarantineFile('C:\WINDOWS\system32\itunesff.exe',''); QuarantineFile('C:\Documents and Settings\21\Главное меню\Программы\Автозагрузка\RavMonE.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\windows\system32\amvo.exe',''); QuarantineFile('C:\windows\system32\wincab.sys',''); QuarantineFile('C:\windows\system32\amvo0.dll',''); DeleteFile('C:\windows\system32\amvo0.dll'); DeleteFile('C:\windows\system32\wincab.sys'); DeleteFile('C:\windows\system32\amvo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\Documents and Settings\21\Главное меню\Программы\Автозагрузка\RavMonE.exe'); DeleteFile('C:\WINDOWS\system32\itunesff.exe'); BC_ImportAll; ClearHostsFile; ExecuteRepair(6); ExecuteRepair(8); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Профиксите
O4 - HKCU\..\Run: [amva] C:\windows\system32\amvo.exe
Бугога
не знаю где они сейчас вложены, но я их не вижу.
Главное, что я их видел, но вообще то страно.
ну, спасибо щас попробую
Добавлено через 34 минуты
А объясни пжлст, какие файлы карантин нужно присылать?
-Те что в AVZ\Quarantine появились после первой проверки
- эти найти и прислать
QuarantineFile('%systemroot%\inf\nlite.cmd','');
QuarantineFile('C:\WINDOWS\system32\itunesff.exe', '');
QuarantineFile('C:\Doc&Settings\21\Гменю\Прогр\Авт озагр\RavMonE.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\windows\system32\amvo.exe','');
QuarantineFile('C:\windows\system32\wincab.sys','' );
QuarantineFile('C:\windows\system32\amvo0.dll','') ;
Последний раз редактировалось Еретик; 02.02.2008 в 00:07. Причина: Добавлено
Загружайте все которые там есть, я некоторые специально не карантинил, так как АВЗ сама добавила.
Добавлено через 20 минут
Сделайте новые логи и выложите. Посмотрим, что там.
Последний раз редактировалось wise-wistful; 02.02.2008 в 00:30. Причина: Добавлено
А можно как нибудь выполнять те скрипты только на отдельных частях диска(windows, document&settings) ?
Просто, если их банально проверять не создаётся логов. А делать полную проверку мне - 42 минуты.
Не понял о каких тех скриптах идёт речь?
вот. Этого хватит?
C:\WINDOWS\system32\msmlqc.com, C:\WINDOWS\system32\msveds.com, C:\WINDOWS\msagent\mstgxt.com, C:\WINDOWS\msagent\msbwlk.com - Backdoor.Win32.Beastdoor.l
C:\WINDOWS\system32\necsort.sys - Rootkit.Win32.Agent.sh
Выполните в АВЗ
Хоть и долго делать логи, но прийдётся потерпеть. Повторите все логи заново. Поймите, нам нужно видеть все логи перед собой, что бы понять чем болен компьютер и как его лечить.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\necsort.sys'); DeleteFile('C:\WINDOWS\msagent\msbwlk.com'); DeleteFile(':\WINDOWS\msagent\mstgxt.com'); DeleteFile('C:\WINDOWS\system32\msveds.com'); DeleteFile('C:\WINDOWS\system32\msmlqc.com'); DeleteFile('C:\windows\system32\ntos.exe'); BC_ImportAll; ExecuteRepair(6); ExecuteRepair(8); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Спасибо за понимание.
Последний раз редактировалось wise-wistful; 02.02.2008 в 01:35.
Вот эти - я не знаю зачем, какие то подозрительные)
C:\windows\system32\ntos.exe
C:\windows\system32\Drivers\sptd.sys
+ вот это очень интересно, что значит.
Код:Функция NtCreateKey (29) перехвачена (8056F063->F759F0D0), перехватчик C:\windows\system32\Drivers\sptd.sys Функция NtEnumerateKey (47) перехвачена (8056F76A->F75A4FB2), перехватчик C:\windows\system32\Drivers\sptd.sys Функция NtEnumerateValueKey (49) перехвачена (805801FE->F75A5340), перехватчик C:\windows\system32\Drivers\sptd.sys Функция NtOpenKey (77) перехвачена (805684D5->F759F0B0), перехватчик C:\windows\system32\Drivers\sptd.sys Функция NtQueryKey (A0) перехвачена (8056F473->F75A5418), перехватчик C:\windows\system32\Drivers\sptd.sys Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F75A5298), перехватчик C:\windows\system32\Drivers\sptd.sys Функция NtSetValueKey (F7) перехвачена (80575527->F75A54AA), перехватчик C:\windows\system32\Drivers\sptd.sys
Последний раз редактировалось Макcим; 02.02.2008 в 18:14.
Я заметил client.alfabank меняйте пароли...
Добавлено через 56 секунд>>> C:\windows\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker
C:\windows\system32\Drivers\sptd.sys - это диамон
Последний раз редактировалось akoK; 02.02.2008 в 01:47. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
В данном случае - Алкоголь. Что, в общем, без разницы, один чёрт.
Выполнил скрипт.
Вот логи.
Выполнить скрипт
Что это за задание в планировщике?
AVZ - файл - мастер поиска и устранения проблем (устраняем проблемы)Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\21\Шаблоны\Brengkolang.com',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Microsoft Most Valuable Professional in Consumer Security
фиг его знает, что это такое, но этот файл скрытый, и мне он точно не нужен.
Кстати ещё вопрос - как мне вернуть всё назад, то что сделал Brontok (расширения файлов не показывает)
Если C:\Documents and Settings\21\Шаблоны\Brengkolang.com попал в карантин то загрузите по правилам
Добавлено через 1 минуту
Кстати нужен полный комплект всех логов, а то мы так не поймём как проходит лечение.
Последний раз редактировалось wise-wistful; 02.02.2008 в 13:25. Причина: Добавлено
Уважаемый(ая) Еретик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.