Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Подозрения AVZ (заявка № 27464)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39

    Exclamation Подозрения AVZ

    Здравствуйте.
    Ситуация следующая: на зараженном компе отказывался грузиться рабочий стол. Все (те, что успел осмотреть) программы работают, однако, нормально. В ходе выполнения Правил AVZ удалила некоторые вирусы и, как результат, стал грузиться рабочий стол. Однако кое-что, насколько я понял, осталось под подозрением...

    Логи прилагаю:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Вы карантин по правилам загрузили? Если нет -закачайте.

    Потом:

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O2 - BHO: (no name) - {C613CE22-151C-4331-94FF-F113A153F66D} - error (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Temp\spy.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Вы карантин по правилам загрузили? Если нет -закачайте
    Результат загрузки Файл сохранён как 080804_031716_virusinfo_cure_4896bb0c08df9.zip
    Размер файла 115541
    MD5 1ac863f769710397bb8fa9680559834c

    Файл закачан, спасибо!

    --------------
    Пошел делать новые логи...

  5. #4
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    После выполнения скрипта и перезагрузки оказалось, что рабочий стол так и не грузится, при этом на долю секунд вылезает ДОСовское окошко с указанием файла C:\WINDOWS\system32\userinit.exe. Затем я как обычно открыл проводник и, о чудо, рабочий стол вновь появился...

    Получившийся карантин закачал, логи прилагаю:
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    CureIt ом проверялись? Если нет - сделайте проверку.

    Потом:
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3E.tmp','');
     QuarantineFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3.tmp','');
     QuarantineFile('C:\WINDOWS\Temp\gold.exe','');
     QuarantineFile('C:\WINDOWS\Temp\187A.tmp','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\Temp\187A.tmp');
     DeleteFile('C:\WINDOWS\Temp\gold.exe');
    DeleteFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3.tmp');
    DeleteFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3E.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  7. #6
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    CureIt ом проверялись? Если нет - сделайте проверку
    Не могу, не получается его скачать...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от nestor Посмотреть сообщение
    Не могу, не получается его скачать...
    Выполняйте описанное, после перезагрузки и перед выполнением повторных логов попробуйте: ссылка рабочая, только что проверил.

  9. #8
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    ссылка рабочая, только что проверил.
    не получается у меня не качается по фтп (или может я что-то не так делаю?)

    Скрипт выполнил, карантин загрузил, логи прилагаю:
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от nestor Посмотреть сообщение
    у меня не качается по фтп (или может я что-то не так делаю?)
    А на другом компе скачать и провериться нет возможности? Тогда сделайте по крайней мере проверку установленным Антивирусом.
    В логах сейчас чисто, Сервис Пак 3 установить нужно. Но АВЗ может не видеть каких-то файловых вирусов, поэтому рекомендуем провериться полноценным антивирусом.

  11. #10
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    А проблема-то, собственно, не исчезла! Все так же при загрузке выскакивает ДОСовское окошко с указанием файла C:\WINDOWS\system32\userinit.exe, а рабочий стол появляется только если из диспетчера задач запустить какое-нить приложение...
    Что мне делать дальше? Проверять систему каким-нить антивирусом?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     DeleteService('Dof48');
     DeleteFile('Dof48.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  13. #12
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    скрипт выполнил, однако папка LOG после перезагрузки осталась пуста... Что делать дальше?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    а причем папка лог ?
    читаем ...
    Код:
    Приложение 3. Как прислать запрошенные файлы.
    
    1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
    2. Справа в списке файлов отметьте те файлы которые нужно выслать.
    3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
    
    4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенный карантин) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
    Загружать только один (1) раз, если вам кажется что не получилось- спросите об этом в теме.

  15. #14
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    сорри,

    Результат загрузки
    Файл сохранён как 080804_063028_virus_4896e85403b02.zip
    Размер файла 310
    MD5 478598fc8980ffa82b631b8e4c224182

    Файл закачан, спасибо!

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    C:\WINDOWS\system32\userinit.exe - запакуйте с паролем virus и пришлите ...

  17. #16
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    Извините, я, наверное, чего-то не понимаю... Когда я в АВЗ ставлю птичку и нажимаю "Архивировать", то в полученном архиве находится файл с расширением ini по типу моего прошлого поста. А когда я руками запаковал и запаролил userinit.exe, то при загрузке мне выдает: ""A:\virus.zip" указал один или несколько файлов, которые невозможно найти."

    ???

    Добавлено через 32 минуты

    Вопрос все-еще в силе. Объясните пожалуйста, как заархивировать userinit.exe ???
    Последний раз редактировалось nestor; 04.08.2008 в 16:04. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Почему А:\ ? Вы файл на дискетте сделали?

  19. #18
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    Да, я переношу логи с зараженного компа на чистый на дискете... карантин, к слову, загружал точно так же и никаких проблем не было...

    Кстати, Касперский на этот userinit.exe с проблемного компа отреагировал как "новая угроза Password-protected-EXE (модификация)"

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    1. Сделайте архив на жестком диске
    2. Отключите Касперского - это его нормальная реакция на защищенный архив.

  21. #20
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    50
    Вес репутации
    39
    Ну теперь, я думаю, все правильно...

    Результат загрузки
    Файл сохранён как 080804_085840_virus_48970b1003016.zip
    Размер файла 11974
    MD5 adfc51e34124aff9404811c36b540b2a

    Файл закачан, спасибо!

  • Уважаемый(ая) nestor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрения
      От MichaNICK в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.10.2011, 10:55
    2. Подозрения...
      От harwid в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.09.2009, 14:42
    3. Подозрения...
      От Natik91 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 04.09.2009, 18:02
    4. Подозрения
      От Scripter в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 30.05.2008, 19:13
    5. Подозрения...
      От Gena77 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 15.04.2008, 11:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00064 seconds with 17 queries