Два трояна ntos.exe murka.dat i зловред в beep.sys лишили прав админа компа и невозможно отключить system restore.А без этого можно логи делать? Без выполнении условии Правил? Что делать ?Заранее благодарю.
Два трояна ntos.exe murka.dat i зловред в beep.sys лишили прав админа компа и невозможно отключить system restore.А без этого можно логи делать? Без выполнении условии Правил? Что делать ?Заранее благодарю.
Последний раз редактировалось orbison; 01.03.2008 в 01:49.
Без логов нельзя. А в чём проблема с логами?
Добавлено через 1 минуту
Если только с отключением системы, то давайте пока так. Потом постараемся отключить и сделаем проверку уже с отключеным восстановлением.
Последний раз редактировалось wise-wistful; 20.02.2008 в 22:00. Причина: Добавлено
Так и быть, мы вас простим только обязательно выполнить 2 пункт правил - прoверим в действии эффективность cureit
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Админа права заблокированы от панели управления до выключения System restore. Заранее преогромно благоадрю
Syscheck_zip не нашел. Исполнил 3 и 4 станд. скрипт
а второй пункт правил делали ?
Выполнить скрипт в AVZ:
Прислать карантин согласно пункту 3 правил по ссылке:http://virusinfo.info/upload_virus.php?tid=18393Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntsvc32.dll',''); QuarantineFile('C:\WINDOWS\murka.dat',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys',''); QuarantineFile('C:\WINDOWS\system32\wincom32.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys',''); QuarantineFile('c:\windows\system32\msvcrtd.exe',''); QuarantineFile('C:\WINDOWS\system32\PavTPK.sys',''); QuarantineFile('C:\WINDOWS\system32\users32.dat',''); QuarantineFile('c:\windows\medichi2.exe',''); QuarantineFile('c:\windows\medichi.exe',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Сureit нашел три зловреда.Выслал в новой теме" Куча вирусов" логи.Могли бы что то посоветовать.? THX
не надо плодить темы, еcли та же система .
Последний раз редактировалось drongo; 21.02.2008 в 00:22.
"Имена , пароли, явки ?" По подробней
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Выслал карантин чего то невижу где оно.Сгкуше находит murka.dat ntos .exe beep.sys . C Скрипт выполнил но на фронте без перемен .Благодарю
ВЫполните в авз
ПрофикситеКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('msupdate', 4); StopService('msupdate'); SetServiceStart('wincom32', 4); StopService('wincom32'); TerminateProcessByName('c:\windows\medichi.exe'); TerminateProcessByName('c:\windows\medichi2.exe'); QuarantineFile('C:\WINDOWS\system32\users32.dat',''); QuarantineFile('pskmssvc.exe',''); QuarantineFile('PavPrSrv.exe',''); QuarantineFile('c:\windows\system32\msvcrtd.exe',''); QuarantineFile('C:\WINDOWS\system32\wincom32.sys',''); QuarantineFile('C:\WINDOWS\system32\wincom32.ini',''); QuarantineFile('C:\WINDOWS\system32\alsys.exe',''); DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys'); DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys'); DeleteFile('C:\WINDOWS\system32\wincom32.sys'); DeleteFile('C:\WINDOWS\system32\wincom32.ini'); DeleteFile('C:\WINDOWS\system32\alsys.exe'); BC_DeleteFile('C:\WINDOWS\system32\wincom32.sys'); DeleteFile('c:\windows\medichi.exe'); BC_DeleteFile('c:\windows\medichi.exe'); DeleteFile('c:\windows\medichi2.exe'); BC_DeleteFile('c:\windows\medichi2.exe'); DeleteFile('C:\WINDOWS\system32\users32.dat'); BC_DeleteFile('C:\WINDOWS\system32\users32.dat'); DeleteFile('c:\windows\system32\msvcrtd.exe'); DeleteFile('C:\WINDOWS\murka.dat'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteService('msupdate'); DeleteService('windev-7a11-1dbf'); DeleteService('wincom32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 4 минутыКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32.dll,C:\WINDOWS\system32\ntos.e xe, O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
Скрипт от drongo - это сбор анализов. Вот результаты лабораторных исследований: ntos.exe - Packed.Win32.PolyCrypt.d, medichi.exe - not-virus:Hoax.Win32.Renos.aom, medichi2.exe - not-a-virus:AdWare.Win32.Agent.aag, Beep.SYS - Trojan.Win32.Obfuscated.mp, murka.dat - Backdoor.Win32.Small.cbo
Добавлено через 1 минуту
wincom32.sys - это Email-Worm.Win32.Zhelatin.ab. Никаких писем странных последнее время не получали?
Последний раз редактировалось wise-wistful; 21.02.2008 в 01:04. Причина: Добавлено
Преогромнейшее спасибо. Сделал скрипты и профиксировал но насколько вижу без перемен. Тока фиксирование сняла процесс ntos.exe. Глянул- эти зловредные файлы на местефайлы на месте :-(. TNX
Сделайте новые логи, посмотрим, что осталось.
I am not young enough to know everything...
Единственно что уже ntos.exe не грузит проц.Отключить system restore не можем.Будем продолжать лечить.THX
После выполнения скрипта ничего не изменилось.ntos.exe опять грузит проц что даже выполнения логов зависло,пришлось завершить процесс чтоб закончить делать логи.Главное что невозможно отключить System restore.У админа компа вообще все права заблокированы даже taskmgr.У огр. лучше есть панель управления хотя бы.. Заранее благодарен.
Вот повторные логи
Толко не могу понять где _syscheck.zip
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Добавлено через 4 минутыКод:O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM') O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32.dll,C:\WINDOWS\system32\ntos.e xe, O20 - AppInit_DLLs: murka.dat
вы отключаете антивирус перед выполнением скрипта?
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('windev-7a11-1dbf', 4); SetServiceStart('msupdate', 4); SetServiceStart('wincom32', 4); TerminateProcessByName('c:\windows\system32\ntos.exe'); StopService('wincom32'); StopService('windev-7a11-1dbf'); StopService('msupdate'); QuarantineFile('ntsvc32.dll',''); QuarantineFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys',''); QuarantineFile('C:\WINDOWS\murka.dat',''); QuarantineFile('C:\WINDOWS\system32\wincom32.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys',''); QuarantineFile('c:\windows\system32\msvcrtd.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('c:\windows\system32\ntos.exe',''); DeleteFile('c:\windows\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('c:\windows\system32\msvcrtd.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys'); DeleteFile('C:\WINDOWS\system32\wincom32.sys'); DeleteFile('C:\WINDOWS\murka.dat'); DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys'); DeleteFile('ntsvc32.dll'); DeleteService('windev-7a11-1dbf'); DeleteService('wincom32'); DeleteService('msupdate'); BC_ImportALL; BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_DeleteFile('c:\windows\system32\msvcrtd.exe'); BC_DeleteFile('C:\WINDOWS\system32\wincom32.sys'); BC_DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys'); BC_DeleteFile('C:\WINDOWS\murka.dat'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18393
Повторите логи
Добавлено через 1 минуту
System Recovery: enabled-востановление системы необходимо отключать.
Добавлено через 1 минуту
Попробуйте после этого скрипта отлючить
Код:begin ExecuteRepair(6); RebootWindows(true); end.
Последний раз редактировалось akoK; 21.02.2008 в 23:21. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Спасибоо Вам.Выполнил скрипт выслал карантин сделал логи
отключите восстановление системы !!!
обновите базы авз !!!
пофиксите ...
выполните скрипт ...Код:O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM') O20 - AppInit_DLLs: murka.dat
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('ntsvc32.dll',''); QuarantineFile('C:\WINDOWS\system32\wincom32.sys',''); QuarantineFile('Birk66.sys',''); SetServiceStart('Birk66', 4); StopService('Birk66'); SetServiceStart('msupdate', 4); StopService('msupdate'); QuarantineFile('c:\windows\system32\msvcrtd.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\users32.dat',''); QuarantineFile('c:\windows\medichi2.exe',''); QuarantineFile('c:\windows\medichi.exe',''); DeleteFile('c:\windows\medichi.exe'); DeleteFile('c:\windows\medichi2.exe'); DeleteFile('C:\WINDOWS\system32\users32.dat'); DeleteFile('c:\windows\system32\msvcrtd.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Birk66.sys'); DeleteFile('C:\WINDOWS\system32\wincom32.sys'); DeleteFile('C:\WINDOWS\murka.dat'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('ntsvc32.dll'); BC_DeleteSvc('Birk66'); BC_DeleteSvc('wincom32'); BC_DeleteSvc('msupdate'); BC_DeleteSvc('windev-7a11-1dbf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Cпасибо большое.Не обновляется база avz -error loading [21,00002EFD] отключить восстановление системы невозможно.Права админа компа зловредом ограничены.
THX
Добавлено через 6 минут
Единственно что админ компа может сделать -это антивирус отключить. Кроме этого при запуске=точнее в середине запуска Hijackthis появляется сообщения что система denied write access to host file. И если это нужно то надо самому run notepad C:\ Windows\System 32\drivers\etc\hosts
Последний раз редактировалось orbison; 22.02.2008 в 08:46. Причина: Добавлено
выполните скрипт ...
полсле должно получится отключить восстановление системы ...Код:begin ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); RebootWindows(true); end.
СПАИБО БОНД вы настоящий Бонд!!!УДАЛОСЬ ПОЛУЧИЛОСЬ !!ОТКЛЮЧИЛИ ВОССТАНОВЛЕНИЕ СИСТЕМЫ ! предыдущий скрипт делать? thx
конечно ... и карантин прислать и логи повторить ...
Уважаемый(ая) orbison, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.