После лечения компа всеми антивирусами.AVAST HE начинает кричать,что активируется скрытый,вредоносный процесс.После лечения,вирусы опять появляются.
AVZ вредоносные файлы поместил в карантин.Могу выслать этот карантин,для анализа.
После лечения компа всеми антивирусами.AVAST HE начинает кричать,что активируется скрытый,вредоносный процесс.После лечения,вирусы опять появляются.
AVZ вредоносные файлы поместил в карантин.Могу выслать этот карантин,для анализа.
Последний раз редактировалось dragon772; 29.07.2008 в 16:16.
Это тот же РС или другой?
Полную проверку AVPTool делали? Просто уж больно много всего, да хвостов от малваре хватает.
Скачать IceSword. В нем удалить:
C:\WINDOWS\System32\Drivers\Jqx62.sys
C:\WINDOWS\System32\Drivers\Xfl63.sys
Выполнить
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents.exe',''); QuarantineFile('crypt32.dll',''); QuarantineFile('kdkhf.exe',''); QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\pjpglm.sys',''); BC_DeleteSvc('FCI'); BC_DeleteSvc('Google Online Services'); DeleteService('Jqx62'); SetServiceStart('Jqx62', 4); QuarantineFile('C:\WINDOWS\System32\Drivers\Xfl63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jqx62.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Jqx62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xfl63.sys'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\winlogan.exe'); DeleteFile('kdkhf.exe'); DeleteFile('crypt32.dll'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(17); BC_Activate; RebootWindows(true); end.
Загрузить карантин.
Последний раз редактировалось PavelA; 22.07.2008 в 17:26.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
PC другой!
Тестировал CureIT Dr.web и AVP Tools,все,что найдено,было удалено!
Кроме,этого скрытого процесса,он остался,почему-то в карантине AVZ.
Карантин выслал.
Файл сохранён как080722_084744_virus_4885e5005b693.zipРазмер файла129837MD5b17fe9650030a096bd0e5e62e844d0d6
Логи,чуть позже сделаю.
Линк на ICeSword не рабочий!
http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
Последний раз редактировалось dragon772; 22.07.2008 в 17:58.
Тот линк у меня срабатывает запросто.
Держи другой:
http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ничего не понимаю.Первый линк заработал,но WinRar пишет,что архив поврежден или имеет неизвестный формат.
А второй линк вообще виснет,внутренная ошибка сервера 500.
Третий достал из заначки:
http://www.megaupload.com/?d=AUGYD37C
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все сделал!
Новые логи...
Последний раз редактировалось dragon772; 29.07.2008 в 16:16.
updatedd.pif - это IceSword?
Поищи в AVZ Documents.exe,nax.exe. Если найдутся, то прислать. По Вашему карантину ответа пока нет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Конечно есть, м.б. там что-то интересное завалялось.
Что-то мусора много осталось, будем скриптом удалять, жди.
Добавлено через 10 минут
вот что получилось:
После него новые логи надо сделать.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('dpti930'); BC_DeleteSvc('VSS'); BC_DeleteSvc('srservice'); QuarantineFile('C:\Documents and Settings\lebedev.AUTON\nax.exe',''); QuarantineFile('C:\Documents and Settings\lebedev.AUTON\Desktop\updatedd.pif',''); BC_DeleteSvc('PolicyAgent'); BC_DeleteSvc('NVSvc'); BC_DeleteSvc('Nla'); BC_DeleteSvc('COMSysApp'); BC_DeleteSvc('ClipSrv'); BC_DeleteSvc('CiSvc'); BC_DeleteSvc('Browser'); DeleteFile('C:\Documents and Settings\lebedev.AUTON\Desktop\updatedd.pif'); DeleteFile('C:\Documents and Settings\lebedev.AUTON\nax.exe'); DeleteFile('C:\WINDOWS\System32\drivers\pjpglm.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 23.07.2008 в 13:04. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Infected закачал.Новые логи выложил!
Файл сохранён как 080723_061810_virus_48871372b5d32.zip
Размер файла 129837
MD5 b17fe9650030a096bd0e5e62e844d0d6
Последний раз редактировалось dragon772; 29.07.2008 в 16:16.
Через Мастер поиска и устранения проблем разберитесь вот с этим:
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
В логах я ничего плохого не увидел. Единственное один файлик проверю есть он в карантине или нет.
Добавлено через 11 минут
C:\WINDOWS\glok+2738-24a.sys - Trojan.Peacomm.D по Симантеку. Вот это надо еще удалять.
В логах я его нигде не увидел.
Карантины ты загрузил какие-то не те. Нам нужны после скриптов из моих сообщений.
Последний раз редактировалось PavelA; 23.07.2008 в 16:14. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Новые логи..
C:\WINDOWS\glok+2738-24a.sys AVZ перенес в папку infected. А Cure It удалил его. В карантин,больше ничего не попадало,после последних скриптов!
Последний раз редактировалось dragon772; 29.07.2008 в 16:16.
ЛК ответило про него: файл чистый.
'C:\WINDOWS\System32\Drivers\Jqx62.sys' - вот этот поищи через AVZ. Его в карантине не видно, может его тоже Куреит съел.
Почему-то из логов он удаляться не хочет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А ЛК - это что?
Jqx62.sys - нет на диске,нет ссылки в реестре.
ЛК - Лаборатория Касперского.
Значит, попробуем это дело извести
Повтори логи с п.10 Правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Jqx62'); BC_Activate; RebootWindows(true); end.
З.Ы. есть 6000 сообщений
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде избавились от последнего зверя!
Последний раз редактировалось dragon772; 29.07.2008 в 16:16.
Да, мы вместе с тобой победили.
Совет будет такой: поставить обновления системы, удалить карантин AVZ/AVPTool.
Да, и вообще AVPTool деинсталлировать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) dragon772, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.