Проверьте логи пожалуйста!
Компьютер после лечения. Все ли я вылечил? Что делать с перехватчиками сист.функций?
P.S. КриптоПро - нужная вещь.
Проверьте логи пожалуйста!
Компьютер после лечения. Все ли я вылечил? Что делать с перехватчиками сист.функций?
P.S. КриптоПро - нужная вещь.
Последний раз редактировалось sparrow; 31.07.2009 в 12:06.
Отключите восстановление системы и Антивирус!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('sрoоlsv.exe',''); QuarantineFile('C:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile(',DTMONX.EXE',''); QuarantineFile('C:\WINDOWS\system32\baseolkt32.dll',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\ovrscn.sys'); DeleteFile('C:\WINDOWS\system32\ovwscn.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21672
Затем такой скрипт:
Скачайте новую версию AVZ(4.30) и повторите логи.Код:function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
Файл сохранён как 080418_000215_virus_48082b5743d98.zip
Размер файла 190660
MD5 499a19d21006a562f6abc8ad163da167
Новые логи
Последний раз редактировалось sparrow; 31.07.2009 в 12:06.
sрoоlsv.exe - поищите через авз , все что найдется пришлите по правилам ...
Не получилось.
Ошибка карантина файла, попытка прямого чтения (sрoоlsv.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\sрoоlsv.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\sрoоlsv.exe)
Карантин с использованием прямого чтения - ошибка
Карантин:
ntos.exe-Trojan-Spy.Win32.Zbot.bcn
baseolkt32.dll-Trojan.Win32.SubSys.ce
sрoоlsv.exe поищите ручками в этих директориях,найдете заархивируйте с паролем "virus" и загрузите по ссылке вверху темы.
Нашелся только в System32
Файл сохранён как 080418_015455_virus_480845bfa5d05.zip
Размер файла 46311
MD5 0638a992a0b6c159d84c2f686a2637dc
Подождем ответа аналитиков
Добавлено через 3 часа 27 минут
spoolsv.exe_, SPOOLSV.EX_
Вредоносный код в файлах не обнаружен.
Последний раз редактировалось Гриша; 18.04.2008 в 14:33. Причина: Добавлено
А сообщения о функциях Wininet
{{Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[671F11C6]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[671F1376]}}
выделенные красным в протоколе АВЗ - это нормально ?
Это нормально,жалобы есть?
Жалоб нет.
Всем большое спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\baseolkt32.dll - Trojan.Win32.SubSys.ce (DrWEB: Trojan.Okuks.based)
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bcn (DrWEB: Trojan.Proxy.2842)
Уважаемый(ая) sparrow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.