-
Full Member
- Вес репутации
- 64
Сообщения Application Error
Здравствуйте!
Начали выскакивать сообщения о некорректной работе приложений и ошибке в них. В связи с этим компьютер перезагружался. В безопасном режиме проверил CureIt, затем сделал логи и сообщений перестали выскакивать, но посмотрите, пожалуйста, логи - мало ли, вдруг что-то осталось.
Заранее благодарен!
Последний раз редактировалось ghostil; 23.04.2008 в 17:39.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('ZZZdrv_lich', 4);
StopService('ZZZdrv_lich');
TerminateProcessByName('d:\windows\winlogon.exe');
QuarantineFile('D:\WINDOWS\system32\svshost.dll','');
QuarantineFile('kdtfl.exe','');
QuarantineFile('D:\WINDOWS\system32\wininet.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
QuarantineFile('D:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('D:\Documents and Settings\B\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('D:\lich.sys','');
QuarantineFile('D:\WINDOWS\System32\Drivers\Ejo16.sys','');
QuarantineFile('D:\WINDOWS\System32\drivers\Din05.sys','');
QuarantineFile('C:\Temp\sv32_4.exe','');
QuarantineFile('D:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('d:\windows\winlogon.exe','');
DeleteFile('d:\windows\winlogon.exe');
DeleteFile('D:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\Temp\sv32_4.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\Ejo16.sys');
DeleteFile('D:\lich.sys');
DeleteFile('D:\Documents and Settings\B\Local Settings\Application Data\cftmon.exe');
DeleteFile('D:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('D:\WINDOWS\system32\ntos.exe');
DeleteFile('D:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('D:\WINDOWS\system32\wininet.exe');
DeleteFile('D:\WINDOWS\system32\svshost.dll');
BC_ImportAll;
BC_DeleteSvc('ZZZdrv_lich');
BC_DeleteSvc('FCI');
BC_DeleteSvc('MDM');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19786
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: UserInit=d:\windows\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [runwinlogon] D:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [autoload] D:\Documents and Settings\B\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] D:\WINDOWS\system32\drivers\spools.exe
Повторите логи
-
Full Member
- Вес репутации
- 64
Да, много оказалось всякого "добра"! Карантин я закачал, сейчас пофиксю и логи выполню!
Добавлено через 2 минуты
Пофиксить не смог, поскольку ни одной Вами указанной строчки я не нашёл. =)
Последний раз редактировалось ghostil; 14.03.2008 в 11:52.
Причина: Добавлено
-
Если после того, как выполнили скрипт в АВЗ строчек не нашлось - то АВЗ должна прибить. Давайте логи посмотрим.
Добавлено через 7 минут
В карантине wininet.exe - Backdoor.Win32.Small.cup, winlogon.exe - SpamTool.Win32.Agent.gf, WLCtrl32.dll - Trojan-Downloader.Win32.Agent.ldb, ntos.exe - свежая разновидность, пока имя не придумали, но скоро квалифицируют. Остальные в карантин не захотели.
Последний раз редактировалось wise-wistful; 14.03.2008 в 12:03.
Причина: Добавлено
-
Full Member
- Вес репутации
- 64
Так что я словил новинку сезона, хех! Вот выкладываю логи, жду вашего заключения!
Последний раз редактировалось ghostil; 23.04.2008 в 17:39.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Din05', 4);
SetServiceStart('ZZZsvc_lich', 4);
SetServiceStart('CcEvtSvc', 4);
StopService('CcEvtSvc');
StopService('ZZZsvc_lich');
QuarantineFile('kdtfl.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('D:\WINDOWS\system32\imapi.exe','');
QuarantineFile('D:\WINDOWS\ATKKBService.exe','');
QuarantineFile('D:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('D:\lich.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\Din05.sys','');
QuarantineFile('D:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('D:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('D:\WINDOWS\system32\Drivers\Din05.sys');
DeleteFile('D:\lich.exe');
DeleteFile('D:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('kdtfl.exe');
DeleteService('CcEvtSvc');
DeleteService('ZZZsvc_lich');
BC_ImportALL;
BC_DeleteSvc('Din05');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19786
Добавлено через 2 минуты
Повторите логи
Последний раз редактировалось akoK; 14.03.2008 в 13:00.
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
-
Full Member
- Вес репутации
- 64
Карантин закачал. Вот выкладываю логи.
Последний раз редактировалось ghostil; 23.04.2008 в 17:39.
-
Скачайте IceSword.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл D:\WINDOWS\system32\Drivers\Din05.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Затем выполните скрипт в авз от akoK. Повторите логи.
-
Full Member
- Вес репутации
- 64
спасибо, сейчас сделаю!:-)
-
Full Member
- Вес репутации
- 64
Вот выкладываю логи, которые получились в результате проделанных операций!
Последний раз редактировалось ghostil; 23.04.2008 в 17:39.
-
Почти все умерли. Попробуйте в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\System32\Drivers\Din05.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Din05');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Профиксите
O20 - Winlogon Notify: WLCtrl32 - D:\WINDOWS\
Вы IceSword сносили Din05.sys?
Повторите логи.
-
Full Member
- Вес репутации
- 64
да, сносил, конечно, сделал всё так, как Вы сказали
-
Full Member
- Вес репутации
- 64
Вот выкладываю новые логи!
Последний раз редактировалось ghostil; 23.04.2008 в 17:39.
-
в логах ничего подозрительного ....
-
-
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи!
-
Full Member
- Вес репутации
- 64
Спасибо за помощь! Книгу обязательно прочитаю!