-
Junior Member
- Вес репутации
- 60
заблокирован диспетчер задач! утилита AVZ не запускается
здравствуйте!
случилась следующая беда, антивирь Avast словил вирусы, которые были в папке sys32, это
Sign of "Win32:Tibs-BBQ [Trj]" has been found in "C:\WINDOWS\system32\kernelw.sys" file.
Sign of "Win32:Banker-DMT [Trj]" has been found in "C:\WINDOWS\system32\unifff.dll\[UPX]" file.
Sign of "Win32:Tibs-BBQ [Trj]" has been found in "C:\WINDOWS\system32\kernelw.sys" file.
Sign of "Win32:Tibser" has been found in "C:\WINDOWS\system32\dllgh8jkd1q1.exe" file.
Sign of "Win32:Tibser" has been found in "C:\WINDOWS\system32\dllgh8jkd1q2.exe" file.
Sign of "Win32:Tibser" has been found in "C:\WINDOWS\system32\dllgh8jkd1q5.exe" file.
Sign of "Win32:Small-JMH [Trj]" has been found in "C:\WINDOWS\system32\vedxga5me3.exe\[UPX]" file.
Sign of "Win32: Downloader-gen [Trj]" has been found in "C:\WINDOWS\system32\m1ax1d121322116143v.exe" file.
после чего утилита AVZ просто не запускается совсем, диспетчер задач заблокирован админом.
в режиме загрузки Avast еще раз просканил диск С, обнаружил те же вирусы снова.
что можно сделать???
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 60
Спасибо!
файл переименован в proverka.cmd
сделаны логи, единственно не могу сделать скрипт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Компьютер перезагружается
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
Восстановление системы: включено \ отключить ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('taskmon.sys');
SetServiceStart('poof', 4);
DeleteService('poof');
DeleteService('ovwscn');
StopService('ovwscn');
SetServiceStart('ovrscn', 4);
DeleteService('ovrscn');
SetServiceStart('kprof', 4);
DeleteService('kprof');
SetServiceStart('diperto7dd8-58bc', 4);
DeleteService('diperto7dd8-58bc');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
SetServiceStart('taskmon.sys', 4);
DeleteService('taskmon.sys');
StopService('Ipag45');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('unifff.dll','');
QuarantineFile('kdptl.exe','');
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg4am1et2.exe','');
QuarantineFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('Ipag45.sys','');
QuarantineFile('C:\WINDOWS\system32\diperto7dd8-58bc.sys','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
DeleteFile('Ipag45.sys');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
DeleteFile('C:\WINDOWS\system32\diperto7dd8-58bc.sys');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('kdptl.exe');
DeleteFile('unifff.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe');
DeleteFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
DelBHO('{6607E676-1BDE-4cb3-9913-4DC5EBCAE35E}');
BC_DeleteSvc('Ipag45.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 60
Спасибо!)
Скрипт выполнен
Диспетчер задач ожил через AZV
новые логи прилагаю
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
ОТКЛЮЧИТЕ восстановление системы, там враги.
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('taskmon.sys', 4);
StopService('taskmon.sys');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
DeleteFile('Ipag45.sys');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
BC_DeleteSvc('taskmon.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end
Загрузите карантин согласно приложению 3 правил.
Профиксите
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit .exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Повторите логи.
-
Junior Member
- Вес репутации
- 60
востановление отключала
скрипт выполнен, пофиксино
комп сам иногда перезагружается
новые логи
карантин выслан
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('Ipag45.sys');
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Странно не профиксилось.
Профиксите ещё раз
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
Повторите логи
-
taskmon.sys - Trojan-Proxy.Win32.Agent.xo по Касперскому.
kdptl.exe - Trojan.Win32.DNSChanger.aum
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
скрипт выполнен
строка в hijackthis не найдена
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit .exe
незнаю совпадение или нет, но при подключении к инету комп опять ушел в перезагруз
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
Скачайте .... меню File - файл C:\WINDOWS\system32\drivers\Ipag45.sys -force delete ...
затем выполните скрипт авз ...
Код:
begin
DeleteFile('C:\WINDOWS\system32\drivers\Ipag45.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Ipag45');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
все сделано - удален File - файл C:\WINDOWS\system32\drivers\Ipag45.sys
логи сделаны
Последний раз редактировалось Kondor; 10.04.2008 в 21:01.
-
в логах чисто какие-то проблемы остались ?
-
-
В avz уже ничего нет
Код:
85.255.112.236
85.255.115.5
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa
Это Ваш домен?
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
V_Bond
меня смущает только следущая инфа в АВЗ )) в последнем логе
<ITEM File="C:\WINDOWS\Installer\a33f3.msi" VirType="2" Descr="Подозрение на AdvWare.Win32.Vapsup.azv ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)" />
<ITEM File="C:\WINDOWS\Installer\{F99F74B4-972B-4B06-B893-6B3B0DB0128B}\ACDSeeDesktopShortcu_AE80641A0C8D467 0A518B4EC154B1027.exe" VirType="2" Descr="Подозрение на AdvWare.Win32.Vapsup.azv ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)" />
<ITEM File="C:\WINDOWS\Installer\{F99F74B4-972B-4B06-B893-6B3B0DB0128B}\ACDSeePMShortcut_AE80641A0C8D4670A51 8B4EC154B1027.exe" VirType="2" Descr="Подозрение на AdvWare.Win32.Vapsup.azv ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)" />
<ITEM File="C:\WINDOWS\Installer\{F99F74B4-972B-4B06-B893-6B3B0DB0128B}\ARPPRODUCTICON.exe" VirType="2" Descr="Подозрение на AdvWare.Win32.Vapsup.azv ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)" />
Добавлено через 1 минуту
akoK
нет, домен не мой, к украине не имею никакого отношения )))
Добавлено через 5 минут
что мне можно отключить из лишнего в системе?
комп домашний, локалки нет, только инет и местная локальная сеть
Последний раз редактировалось Kondor; 14.02.2008 в 23:18.
Причина: Добавлено
-
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8E84DFB-4ABD-424D-8479-AFE9B3846894}: NameServer = 85.255.115.5,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3983380-4F28-430F-A66B-9C6CB01388A8}: NameServer = 85.255.115.5,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{F895EC57-00D4-4D2A-B222-97AEC6F8C4CE}: NameServer = 85.255.115.5,85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.5 85.255.112.236
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.5 85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.5 85.255.112.236
Microsoft Most Valuable Professional in Consumer Security
-
это паранойая от авз ...
Код:
<ITEM File="C:\WINDOWS\Installer\a33f3.msi" VirType="2" Descr="Подозрение на AdvWare.Win32.Vapsup.azv ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)" />
<ITEM File="C:\WINDOWS\Installer\{F99F74B4-972B-4B06-B893-6B3B0DB0128B}\ACDSeeDesktopShortcu_AE80641A0C8D467 0A518B4EC154B1027.exe" VirType="2" Descr="Подозрение на AdvWare.Win32.Vapsup.azv ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)" />
<ITEM File="C:\WINDOWS\Installer\{F99F74B4-972B-4B06-B893-6B3B0DB0128B}\ACDSeePMShortcut_AE80641A0C8D4670A51 8B4EC154B1027.exe" VirType="2" Descr="Подозрение на AdvWare.Win32.Vapsup.azv ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)" />
<ITEM File="C:\WINDOWS\Installer\{F99F74B4-972B-4B06-B893-6B3B0DB0128B}\ARPPRODUCTICON.exe" VirType="2" Descr="Подозрение на AdvWare.Win32.Vapsup.azv ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)" />
если Одесса вам не мама .... то
пофиксите ...
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8E84DFB-4ABD-424D-8479-AFE9B3846894}: NameServer = 85.255.115.5,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3983380-4F28-430F-A66B-9C6CB01388A8}: NameServer = 85.255.115.5,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{F895EC57-00D4-4D2A-B222-97AEC6F8C4CE}: NameServer = 85.255.115.5,85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.5 85.255.112.236
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.5 85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.5 85.255.112.236
выполните скрипт ...
Код:
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
-
понятно настройки днс слетели... мы же их пофиксили .... они же у вас из Одессы
-