-
Junior Member
- Вес репутации
- 60
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVPTool попробуй, или спец-AVZ.
Ссылочку приделаю, если не знаешь.
Добавлено через 2 минуты
http://z-oleg.com/avz.exe - попробуй вот это.
Последний раз редактировалось PavelA; 16.06.2008 в 19:42.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Логи сделал только АВЗ , ХайджакВиз виснет даже скачал специальный , но логи снять не смог !
Последний раз редактировалось BMW; 19.06.2008 в 15:20.
-
Junior Member
- Вес репутации
- 60
Когда писал первое сообщение то постоянно открывались странички с китайскими сайтами . Щас вроде поутихло. Вот Завтра кто то огребет от меня за винду. И еще для справки - Ставил винду с СП3 на комп с процом АМД. Моежет тут еще где нибудь собака порылась ? Просто гдето в инете видел что есть проблемы у СП3 с АМД камнями
-
Вы правы: Проблема СП3 и АМД известна, но есть ли решение - не знаю
1.Отключите ПК от сети.
2.Отключите Антивирус.
3.Отключите системное востановление.
5. Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
TerminateProcessByName('c:\windows\system32\com\smss.exe');
QuarantineFile('C:\WINDOWS\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\WINDOWS\innounp.exe','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
DeleteFile('C:\WINDOWS\system32\com\smss.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\innounp.exe');
DeleteFile('C:\pagefile.pif');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
BC_DeleteFile('c:\windows\system32\com\smss.exe');
BC_DeleteFile('c:\windows\system32\com\lsass.exe');
BC_DeleteFile('C:\WINDOWS\innounp.exe');
BC_DeleteFile('C:\pagefile.pif');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('D:\autorun.inf');
BC_DeleteFile('C:\WINDOWS\system32\com\smss.exe');
BC_DeleteFile('C:\WINDOWS\system32\dnsq.dll');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.
После перезагрузки:
6. Очистите темп-папки и кэш проводников.
7. Закачайте карантин красной ссылке вверху темы
8. Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
карантин выслал
Файл сохранён как080616_120108_virus_48569c54e028c.zipРазмер файла328837MD56e56f9af878a9a702f4c706bd03295d0
Логи повторяю только без Хайджак Виз не могу его логи выполнить виснет !
Последний раз редактировалось BMW; 19.06.2008 в 15:20.
-
Выполните в AVZ:
Код:
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
логи повторяю ! наконец сделал лог Хайджак Виз и офигел когда его увидел
Последний раз редактировалось BMW; 19.06.2008 в 15:20.
-
Junior Member
- Вес репутации
- 60
мне вот интересно от куда вирусня пришла ? система ставилась с нуля правда диск "Д" я не форматил . Может оттуда зараза поперлась ?
-
Пофиксить
Код:
O4 - S-1-5-18 Startup: ~.exe.24843.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.25093.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.25953.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.25968.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.25984.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.26171.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.26703.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.26750.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.26765.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.27531.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.27703.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.27812.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28546.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28562.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28640.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28687.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28750.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28765.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28906.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28921.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.28937.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.29046.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.29078.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.29093.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.29609.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.29640.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.29828.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.29843.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.29859.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.30500.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.36843.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.42531.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ~.exe.43437.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ~.exe.24843.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.25093.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.25953.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.25968.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.25984.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.26171.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.26703.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.26750.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.26765.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.27531.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.27703.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.27812.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28546.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28562.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28640.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28687.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28750.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28765.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28906.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28921.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.28937.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.29046.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.29078.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.29093.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.29609.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.29640.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.29828.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.29843.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.29859.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.30500.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.36843.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.42531.exe (User 'Default user')
O4 - .DEFAULT Startup: ~.exe.43437.exe (User 'Default user')
O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll
Выполните еще раз скрипт из поста №7 http://virusinfo.info/showpost.php?p=241724&postcount=7
Повторите логи.
-
-
Сообщение от
Rene-gad
Проблема СП3 и АМД известна, но есть ли решение - не знаю
Через Windows Update уже какая-то заплатка на эту тему распространяется. С описанием типа "если ваш компьютер после установки SP3 постоянно перезагружается, установите ЭТО".
-
-
Junior Member
- Вес репутации
- 60
Пофиксить в ХайджакВизе не смог эти строки. Он у меня тупо зависал. Повторно повторил скрипт с поста № 7. Затем Хайджак запустился. Но этих строк не увидел . Видать АВЗ прикончила часть гадости. Логи повторяю
Последний раз редактировалось BMW; 19.06.2008 в 15:20.
-
Junior Member
- Вес репутации
- 60
O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll это я пофиксил но правда уже после того как лог снял.
Добавлено через 25 минут
Извиняюсь , щас убегаю - буду только вечером.
Добавлено через 5 часов 32 минуты
Ребята а вы про меня не забыли ? Очень надо эту тачку сделать. Что в в логах последних ?
Последний раз редактировалось BMW; 17.06.2008 в 17:28.
Причина: Добавлено
-
hijackthis.log - повторите ...
-
-
Junior Member
- Вес репутации
- 60
повторяю
Последний раз редактировалось BMW; 19.06.2008 в 15:20.
-
плохого ничего не видно ...
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
плохого ничего не видно ...
После выполнения скриптов все таки Курет я запустил. И подумал раз система чиста , то кто же её заразил ? Ответ пришел быстро после того как поставил Сканировать диск "Д" Куретом и что я увидел - - почти все *.exe завирусованы "Win32.hllp.rox , Win32.hllp.rox.23, Win32.hllp.rox.8" Вот откуда поди зараза?
-
Cureit нужно было запускать дл создания логов (внимательно нужно читать правила) авз не может бороться с файловыми вирусами ....
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
Cureit нужно было запускать дл создания логов (внимательно нужно читать правила) авз не может бороться с файловыми вирусами ....
Правила хорошо знаю !!!! Но не смог я его запустить пока Скрипты не выполнил. Когда скопировал Курет сюда на машину , он просто не запускался как и АВЗ пока не скачал специальную версию. В безопасник зайти не дал. Едиственно что я затупил это то - что не записал Курет на диск и с него не попробовал. Просто основная моя щас работа - ювелир. И мозги немного устают как и тело Спасибо вам огромное за помощь !