Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Не работающий Symantec + зараза (заявка № 27296)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38

    Exclamation Не работающий Symantec + зараза

    Win2000 Криво поставлен symantec поведение машинки неадекватное, явно гадость присутствует. Сумантек не удаляется (ошибка в процессе удаления) в результате ставить KIS нельзя пока сумантек не удален. Выкладываю логи. Возможно удалить сумантек посредством AVZ ?
    Последний раз редактировалось als-a; 17.02.2009 в 14:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Сначала попытемся зловредов поубирать, а то они все-равно ничего поставить не дадут.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\kwxme.pif','');
     QuarantineFile('F:\autorun.inf','');
     DelBHO('{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}');
     DeleteService('asc3360pr');
     QuarantineFile('C:\WINNT\system32\drivers\ofmlhk.sys','');
     DeleteFile('C:\WINNT\system32\drivers\ofmlhk.sys');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\kwxme.pif');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    RootKit погиб, но в карантин не попал. Не помню как в win2000 выключить востановление системы. Выложил новые логи. Диск F - флешка на которой я AVZ принес, на нее можно не заморачиваться я ее потом почищу.
    Последний раз редактировалось als-a; 17.02.2009 в 14:15.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Цитата Сообщение от als-a Посмотреть сообщение
    Не помню как в win2000 выключить востановление системы.
    Никак - его там нет, сорри, не заметил А флешечку вставьте -тем авторан нехороший.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\kwurp.exe');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winrxjmkq.exe'); 
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\windhutl.exe');
     QuarantineFile('F:\wghwvy.pif','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\WINNT\system32\drivers\ofmlhk.sys','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winrxjmkq.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\windhutl.exe',''); 
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\kwurp.exe','');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\kwurp.exe');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\windhutl.exe');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\winrxjmkq.exe');
     DeleteFile('C:\WINNT\system32\drivers\ofmlhk.sys');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\wghwvy.pif');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 30.07.2008 в 20:28. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    Выполнил, выложил новые логи
    Последний раз редактировалось als-a; 17.02.2009 в 14:15.

  7. #6
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    закачал карантин

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    А флешечку вставьте, плиз.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{364B6276-C6C1-40B6-A6D7-6C48871FD707}');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('F:\xrpm.exe','');
     QuarantineFile('C:\Program Files\Accoona\atoolbar.dll','');
     DeleteFile('C:\Program Files\Accoona\atoolbar.dll');
     DeleteFile('F:\xrpm.exe');
     DeleteFile('F:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.[/QUOTE]

  9. #8
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    Вобщем воды утекло много. Умер сумантек, руками в реестре. Флешка давно почищена на другом компе и там уже ничего нет. Вот что интересно ofmlhk.sys пропадает из ядра,после удаления, но появляется снова через пару перезагрузок, чего-то его опять грузит и запускает. Вообщем посмотрите новые логи - выложил.
    Последний раз редактировалось als-a; 17.02.2009 в 14:15.

  10. #9
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    гадось с флешки (вчерашняя) и из каталога *9335* закачана в карантин
    файл 080731_101421_virus_4891d6cd86be0.zip

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Дело тут такое: Интернет Эксплорер у Вас такой дырявый , что через него только вермишель хорошо отбрасывать (C).
    Вот еще скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('asc3360pr');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\rkfnt.exe');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\ayfxl.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteFile('C:\WINNT\system32\drivers\ofmlhk.sys');
     BC_DeleteFile('c:\docume~1\9335~1\locals~1\temp\ayfxl.exe');
     BC_DeleteFile('c:\docume~1\9335~1\locals~1\temp\rkfnt.exe');
     BC_DeleteSvc('asc3360pr');
    BC_Activate;
    RebootWindows(true);
    end.
    Если не поможет - буду выносить тему на консилиум.

  12. #11
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    Машинка старая - общественная, хозяев у нее было много, никто не удосужился нормально организовать защиту. Я тут в гостях - пытаюсь спасти положение. Тут на ней еще и базаочка стоит которую никак нельзя потерять - уже давно format c: сделал бы, так что не взыщите по по воду IE..

  13. #12
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    Новые логи.... Кстати а может снести все расширения IE ? Есть IE7 можно попробывать поставить, хотя этот номер врядли пройдет.
    Последний раз редактировалось als-a; 17.02.2009 в 14:15.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    В логах ничего плохого не видно
    Цитата Сообщение от als-a Посмотреть сообщение
    Кстати а может снести все расширения IE ? Есть IE7 можно попробывать поставить, хотя этот номер врядли пройдет.
    7-й на Вин2К не станет - это точно, а 6-й СП1 - запросто.
    Ну и патчи , какие доступны на автоматическом сервере обновлений докачайте.

  15. #14
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    Щас посмотрю в своем буке, но по моему 6 нет. Надо качать...

    Добавлено через 3 минуты

    нашел 6 помоему без SP. Пробывать ставить ?
    Последний раз редактировалось als-a; 31.07.2008 в 19:14. Причина: Добавлено

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Цитата Сообщение от als-a Посмотреть сообщение
    Надо качать...
    держите ссылку: http://www.microsoft.com/downloads/d...b-20b602228de6

  17. #16
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    Процесс закачки и установки ...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Цитата Сообщение от als-a Посмотреть сообщение
    Процесс закачки и установки ...
    подробный доклад в конце операции в студию

  19. #18
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    IE6+sp1 ver 6.0.2800.1106 Ну и логи конечно
    Последний раз редактировалось als-a; 17.02.2009 в 14:15.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Скажите честно - Вы временные папки вот этой учетки 9335~1 хоть раз чистили? Я 3 раза писал.
    Там у Вас гадюшник судя по всему
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True); 
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winsrgwes.exe');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winmsidu.exe');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winsrgwes.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winmsidu.exe','');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteFile('c:\docume~1\9335~1\locals~1\temp\winmsidu.exe');
     BC_DeleteFile('c:\docume~1\9335~1\locals~1\temp\winsrgwes.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    Далее - как всегда.

  21. #20
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    38
    Temp чистил и раньше НО !!! после установки IE6 в папке C:\Documents and Settings\Администратор\Local Settings\Temp обнаружилась парочка файлов доступ к которым заблокирован, попробывать их грохнуть после выполнения скрипта или чего -нибудь еще сделать сначала ? Файлики такие windtwov.exe и winxpiyd.exe, в скрипте не упоминаются а после него пойдет перезагрузка и имя их с большой вероятностью поменятся... Выполнять последний скрипт ?

    Добавлено через 8 минут

    А кстати учетки !!!! 9335 не вижу !!!! Проходил по всем зверям и чистил все папки, не обратил внимание на то что учетки 9335 не вижу !!!!
    Последний раз редактировалось als-a; 31.07.2008 в 20:22. Причина: Добавлено

  • Уважаемый(ая) als-a, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 23.09.2011, 14:13
    2. ITG xpPhone: первый смартфон, работающий под управлением Windows XP
      От SDA в разделе Лечение и защита мобильных устройств
      Ответов: 0
      Последнее сообщение: 20.09.2009, 14:11
    3. Ответов: 1
      Последнее сообщение: 21.02.2008, 19:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01456 seconds with 16 queries