-
Junior Member
- Вес репутации
- 59
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
CxpoH, у нас же чётко написано в правилах, что выполнять скрипты написанныя для других систем ЗАПРЕЩЕНО. basekof32.dll удалял Касперский? Скрипт откуда брали?
-
Junior Member
- Вес репутации
- 59
я читал правила и ничего не писал, (скрипты чужие не использовал). я сначала стандартной проверкой занялся после прочтения поста. т.е. я проверил сначала стоявшим НОДом, потом после него перепроверил Каспером. в итоге Нод нашел 5 штук и каспер после него нашел еще 4. вот и в конце перед тем как заняться созданием архивов по теме setupapi.dll перезагрузил. и писец. =(
данный пост решил написать, может кто видел сабж.
Последний раз редактировалось CxpoH; 24.03.2008 в 11:10.
Причина: неточность
-
1. Два антивируса устанавливать не советую.
2. Удаленный троян портит запись в реесте, в результате загрузится компьютер не может.
3. Поправить ситуацию можно двумя путями:
- переустановка Windows XP в режими восстановления;
- загрузится с загрузочного CD типа BartCD и скопировать файл basesrv.dll из папки C:\WINDOWS\system32 в ту же папку под именем basekof32.dll (для других компьютеров имя файла будет отличатся!).
-
-
Junior Member
- Вес репутации
- 59
Итак я его всётаки восстановил с помощью Winternals ERD Commander 2007 (ищите в инете).
логи согласно рекомендаций выложу позже.
ниже логи будут моей системы которая благополучно заразилась.
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось CxpoH; 25.03.2008 в 20:53.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\aub0wb8.cmd','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\aub0wb8.cmd','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\aub0wb8.cmd','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\aub0wb8.cmd','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('E:\WINDOWS\system32\amvo.exe','');
QuarantineFile('E:\WINDOWS\system32\amvo0.dll','');
DeleteFile('E:\WINDOWS\system32\amvo0.dll');
DeleteFile('E:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\aub0wb8.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\aub0wb8.cmd');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\aub0wb8.cmd');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\aub0wb8.cmd');
BC_ImportDeletedList;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Добавлено через 33 минуты
amvo.exe , amvo0.dll ,autorun.inf , aub0wb8.cmd - Trojan-PSW.Win32.OnlineGames.wev
Последний раз редактировалось V_Bond; 25.03.2008 в 10:01.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось CxpoH; 25.03.2008 в 20:53.
-
выполните скрипт ...
Код:
begin
QuarantineFile('E:\WINDOWS\system32\sfc_os.dll','');
QuarantineFile('E:\WINDOWS\system32\SETUPAPI.dll','');
QuarantineFile('E:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ..
Добавлено через 2 часа 48 минут
файлы чисты ... больше не видно ничего подозрительного ...
какие -то проблемы остались ?
Последний раз редактировалось V_Bond; 25.03.2008 в 13:34.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
вроде ничего сам не вижу. спасибо.
еще надо домашнюю машину проверить и сюда добавлю логи насчет неё.
-
Вопросик возник: в логах не увидел ни НОДа, ни Касперского. Там есть только Симантек. Как это можно понять?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
это понимается как машины о которых шла речь - разные.
моя рабочая и буха. симантек у мня. у буха на тот момент была мертвая машина которую реанимировал с помощью моей. насчет буха в другой теме.