Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 69.

Куча вирусов (заявка № 18393)

  1. #1
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38

    оТ ЭРУДИРОВАННЫХ ЧАЙНИКОВ

    Два трояна ntos.exe murka.dat i зловред в beep.sys лишили прав админа компа и невозможно отключить system restore.А без этого можно логи делать? Без выполнении условии Правил? Что делать ?Заранее благодарю.
    Последний раз редактировалось orbison; 01.03.2008 в 01:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Без логов нельзя. А в чём проблема с логами?

    Добавлено через 1 минуту

    Если только с отключением системы, то давайте пока так. Потом постараемся отключить и сделаем проверку уже с отключеным восстановлением.
    Последний раз редактировалось wise-wistful; 20.02.2008 в 22:00. Причина: Добавлено

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Так и быть, мы вас простим только обязательно выполнить 2 пункт правил - прoверим в действии эффективность cureit

  5. #4
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38

    Куча вирусов

    Админа права заблокированы от панели управления до выключения System restore. Заранее преогромно благоадрю

    Syscheck_zip не нашел. Исполнил 3 и 4 станд. скрипт

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    а второй пункт правил делали ?

    Выполнить скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntsvc32.dll','');
     QuarantineFile('C:\WINDOWS\murka.dat','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys','');
     QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('c:\windows\system32\msvcrtd.exe','');
     QuarantineFile('C:\WINDOWS\system32\PavTPK.sys','');
     QuarantineFile('C:\WINDOWS\system32\users32.dat','');
     QuarantineFile('c:\windows\medichi2.exe','');
     QuarantineFile('c:\windows\medichi.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно пункту 3 правил по ссылке:http://virusinfo.info/upload_virus.php?tid=18393

  7. #6
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38
    Сureit нашел три зловреда.Выслал в новой теме" Куча вирусов" логи.Могли бы что то посоветовать.? THX
    не надо плодить темы, еcли та же система .
    Последний раз редактировалось drongo; 21.02.2008 в 00:22.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    "Имена , пароли, явки ?" По подробней

  9. #8
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38
    Выслал карантин чего то невижу где оно.Сгкуше находит murka.dat ntos .exe beep.sys . C Скрипт выполнил но на фронте без перемен .Благодарю

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    ВЫполните в авз
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('msupdate', 4);
     StopService('msupdate');
     SetServiceStart('wincom32', 4);
     StopService('wincom32');
     TerminateProcessByName('c:\windows\medichi.exe');
     TerminateProcessByName('c:\windows\medichi2.exe');
     QuarantineFile('C:\WINDOWS\system32\users32.dat','');
     QuarantineFile('pskmssvc.exe','');
     QuarantineFile('PavPrSrv.exe','');
     QuarantineFile('c:\windows\system32\msvcrtd.exe','');
     QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
     QuarantineFile('C:\WINDOWS\system32\wincom32.ini','');
     QuarantineFile('C:\WINDOWS\system32\alsys.exe','');
      DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
     DeleteFile('C:\WINDOWS\system32\wincom32.sys');
     DeleteFile('C:\WINDOWS\system32\wincom32.ini');
     DeleteFile('C:\WINDOWS\system32\alsys.exe');
     BC_DeleteFile('C:\WINDOWS\system32\wincom32.sys');
     DeleteFile('c:\windows\medichi.exe');
     BC_DeleteFile('c:\windows\medichi.exe');
     DeleteFile('c:\windows\medichi2.exe');
     BC_DeleteFile('c:\windows\medichi2.exe');
     DeleteFile('C:\WINDOWS\system32\users32.dat');
     BC_DeleteFile('C:\WINDOWS\system32\users32.dat');
     DeleteFile('c:\windows\system32\msvcrtd.exe');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteService('msupdate');
     DeleteService('windev-7a11-1dbf');
     DeleteService('wincom32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Профиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32.dll,C:\WINDOWS\system32\ntos.e xe,
    O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
    Добавлено через 4 минуты

    Скрипт от drongo - это сбор анализов. Вот результаты лабораторных исследований: ntos.exe - Packed.Win32.PolyCrypt.d, medichi.exe - not-virus:Hoax.Win32.Renos.aom, medichi2.exe - not-a-virus:AdWare.Win32.Agent.aag, Beep.SYS - Trojan.Win32.Obfuscated.mp, murka.dat - Backdoor.Win32.Small.cbo

    Добавлено через 1 минуту

    wincom32.sys - это Email-Worm.Win32.Zhelatin.ab. Никаких писем странных последнее время не получали?
    Последний раз редактировалось wise-wistful; 21.02.2008 в 01:04. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38
    Преогромнейшее спасибо. Сделал скрипты и профиксировал но насколько вижу без перемен. Тока фиксирование сняла процесс ntos.exe. Глянул- эти зловредные файлы на местефайлы на месте :-(. TNX

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте новые логи, посмотрим, что осталось.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38
    Единственно что уже ntos.exe не грузит проц.Отключить system restore не можем.Будем продолжать лечить.THX

  14. #13
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38
    После выполнения скрипта ничего не изменилось.ntos.exe опять грузит проц что даже выполнения логов зависло,пришлось завершить процесс чтоб закончить делать логи.Главное что невозможно отключить System restore.У админа компа вообще все права заблокированы даже taskmgr.У огр. лучше есть панель управления хотя бы.. Заранее благодарен.
    Вот повторные логи

    Толко не могу понять где _syscheck.zip

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    53
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32.dll,C:\WINDOWS\system32\ntos.e xe,
    O20 - AppInit_DLLs: murka.dat
    Добавлено через 4 минуты

    вы отключаете антивирус перед выполнением скрипта?
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('windev-7a11-1dbf', 4);
     SetServiceStart('msupdate', 4);
     SetServiceStart('wincom32', 4);
     TerminateProcessByName('c:\windows\system32\ntos.exe');
     StopService('wincom32');
     StopService('windev-7a11-1dbf');
     StopService('msupdate');
     QuarantineFile('ntsvc32.dll','');
     QuarantineFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys','');
     QuarantineFile('C:\WINDOWS\murka.dat','');
     QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('c:\windows\system32\msvcrtd.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('c:\windows\system32\ntos.exe','');
     DeleteFile('c:\windows\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('c:\windows\system32\msvcrtd.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     DeleteFile('C:\WINDOWS\system32\wincom32.sys');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
     DeleteFile('ntsvc32.dll');
     DeleteService('windev-7a11-1dbf');
     DeleteService('wincom32');
     DeleteService('msupdate');
     BC_ImportALL;
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
     BC_DeleteFile('C:\WINDOWS\system32\wincom32.sys');
     BC_DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
     BC_DeleteFile('C:\WINDOWS\murka.dat');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18393

    Повторите логи

    Добавлено через 1 минуту

    System Recovery: enabled-востановление системы необходимо отключать.

    Добавлено через 1 минуту

    Попробуйте после этого скрипта отлючить
    Код:
    begin  
     ExecuteRepair(6);  
     RebootWindows(true);
    end.
    Последний раз редактировалось akoK; 21.02.2008 в 23:21. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38
    Спасибоо Вам.Выполнил скрипт выслал карантин сделал логи

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    отключите восстановление системы !!!
    обновите базы авз !!!
    пофиксите ...
    Код:
    O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
    O20 - AppInit_DLLs: murka.dat
    выполните скрипт ...
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('ntsvc32.dll','');
      QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
     QuarantineFile('Birk66.sys','');
     SetServiceStart('Birk66', 4);
     StopService('Birk66');
     SetServiceStart('msupdate', 4);
     StopService('msupdate');
     QuarantineFile('c:\windows\system32\msvcrtd.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\users32.dat','');
     QuarantineFile('c:\windows\medichi2.exe','');
     QuarantineFile('c:\windows\medichi.exe','');
     DeleteFile('c:\windows\medichi.exe');
     DeleteFile('c:\windows\medichi2.exe');
     DeleteFile('C:\WINDOWS\system32\users32.dat');
     DeleteFile('c:\windows\system32\msvcrtd.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Birk66.sys');
     DeleteFile('C:\WINDOWS\system32\wincom32.sys');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('ntsvc32.dll');
    BC_DeleteSvc('Birk66');
    BC_DeleteSvc('wincom32');
    BC_DeleteSvc('msupdate');
    BC_DeleteSvc('windev-7a11-1dbf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  18. #17
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38
    Cпасибо большое.Не обновляется база avz -error loading [21,00002EFD] отключить восстановление системы невозможно.Права админа компа зловредом ограничены.
    THX

    Добавлено через 6 минут

    Единственно что админ компа может сделать -это антивирус отключить. Кроме этого при запуске=точнее в середине запуска Hijackthis появляется сообщения что система denied write access to host file. И если это нужно то надо самому run notepad C:\ Windows\System 32\drivers\etc\hosts
    Последний раз редактировалось orbison; 22.02.2008 в 08:46. Причина: Добавлено

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    полсле должно получится отключить восстановление системы ...

  20. #19
    Junior Member Репутация
    Регистрация
    03.02.2008
    Сообщений
    164
    Вес репутации
    38
    СПАИБО БОНД вы настоящий Бонд!!!УДАЛОСЬ ПОЛУЧИЛОСЬ !!ОТКЛЮЧИЛИ ВОССТАНОВЛЕНИЕ СИСТЕМЫ ! предыдущий скрипт делать? thx

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    конечно ... и карантин прислать и логи повторить ...

  • Уважаемый(ая) orbison, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. Нет ли вирусов на ПК?
      От Ulja в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.08.2011, 04:03
    2. куча вирусов
      От Andy_Hunter в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.06.2010, 00:12
    3. Куча вирусов
      От Kural в разделе Помогите!
      Ответов: 33
      Последнее сообщение: 18.11.2009, 11:18
    4. Ответов: 1
      Последнее сообщение: 10.10.2009, 19:01
    5. куча вирусов
      От squirrel-tw в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.02.2008, 14:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01340 seconds with 16 queries