Показано с 1 по 15 из 15.

проконсультируйте по логам AVZ (заявка № 32619)

  1. #1
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    7
    Вес репутации
    34

    Thumbs down проконсультируйте по логам AVZ

    здравствуйте.

    ноут стал периодически полностью зависать и появились какие-то глюки - долгое выключение, при включение иногда не отражаются или отражаются не правильно значки в трее.

    стоит фаервол outpost и avast. проверял cureit - ничего не нашел.
    проверил AVZ на максимальном эврестическом уровне.
    вот логи (меня смущают)
    avz_log1.txt краткий
    avz_log.txt полный

    будьте добры, проконсультируйте. спасибо.

    п.с. DELL 1520, Vista premium.
    Последний раз редактировалось Rene-gad; 25.10.2008 в 09:47. Причина: ненужные логи удалены.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    сказать можно одно, логи не правильные . сделайте как надо:http://virusinfo.info/showthread.php?t=1235

  4. #3
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    7
    Вес репутации
    34
    сделал как вы сказали.
    после первой проверки авз перегрузился, подключился к интернету, кликнул на иконку фаерфокса и ноут опять намертво повис, но как то по другому - курсор мыши реагировал на движение мышью.
    перегрузился принудительно еще раз.
    и выполнил все остальные пункты.

    логи все равно что-то подозревают.
    прошу вас, проверьте еще раз.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    когда читаете инструкцию, нужно исполнять точно. Почему до сих пор этого не сделано, объясните.восстановление системы не отключили, антивирус с файрволом тоже забыли отключить.


    отключить систему восстановления !!!
    отключить интернет, антивирус и файрвол(чтобы было вам удобней отключить их автостарт ) -> {можно их вообще удалить, как видно заражение пропустили- значит нужно их менять/переинсталировать/настраивать на более жёсткиe настройки }

    выполнить скрипт в AVZ {не забывать правой кнопкой запускать avz от имени администратора. }
    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('C:\Windows\system32\btwhidcs.DLL','');
     QuarantineFile('C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll','');
     QuarantineFile('C:\Program Files\Dell\QuickSet\dadkeyb.dll','');
     DelBHO('{A692062A-11A1-461B-BE98-B520F01F96FC}');
     QuarantineFile('C:\PROGRA~1\ADVANC~1\aKiller.dll','');
     QuarantineFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
     QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys','');
     QuarantineFile('C:\Users\olbanec\AppData\Local\Temp\WKXSNT.exe','');
     QuarantineFile('C:\Users\olbanec\AppData\Local\Temp\JUF.exe','');
     QuarantineFile('C:\Windows\System32\bcmwlrmt.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\xul.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\xpcom.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\ssl3.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\smime3.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\softokn3.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\sqlite3.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\components\brwsrcmp.dll','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\components\browserdirprovider.dll','');
     QuarantineFile('c:\windows\system32\wltrysvc.exe','');
     DeleteFile('C:\Windows\System32\bcmwlrmt.dll');
     DeleteFile('C:\Users\olbanec\AppData\Local\Temp\JUF.exe');
     DeleteFile('C:\Users\olbanec\AppData\Local\Temp\WKXSNT.exe');
     DeleteFile('C:\PROGRA~1\ADVANC~1\aKiller.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('WKXSNT'); 
    BC_DeleteSvc('JUF'); 
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    BC_Activate;
    RebootWindows(true);
    end.

    что у вас от pctools ? плохо удалился?
    не забывать правой кнопкой запускать avz от имени администратора.


    Дальнейший план действий:

    -пришлите карантин согласно приложения 3 правил ... http://virusinfo.info/upload_virus.php?tid=32619

    -включить AVZPM(
    http://virusinfo.info/showthread.php?t=12316 )
    -повторить логи, только пожалуйста не придумывайте что либо сами.
    Последний раз редактировалось drongo; 24.10.2008 в 15:40.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    1. Система как я полагаю Vista ? В этом случае нужно запускать AVZ с правами администратора из меню по правой кнопке (если был обычный запуск, то логи лучше переделать)
    2. Если компонента Groove в офисе не применяется, то лучше ее деинсталлить, воспользовавшись деинсталлятором офиса из "Установка и удаления программ". Это глючная вешь, внедряет свои DLL куда ни попадя ... Аналогично с программой Bonjour
    3. В файле HOSTS какая-то странная запись - "::1 localhost"
    4. В браузере имеются зловредные тулбюры, в частности Ask Toolbar. Их нужно деинсталлировать, если не найдутся деинсталляторы, то их можно прибить скриптом:
    Код:
    begin
     SetAVZGuardStatus(True);
     DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
     DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
     DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}');
     DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
     DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
     ExecuteSysClean;
     RebootWindows(true);
    end.

    Теперь по глюкам - в принципе система могла бы и не загрузиться - судя по логу виден Outpost в полном развороте, в плюс к нему стоит PCTOOLS CONTENT FILTER PROVIDER, да плюс еще avast!. Если в Outpost включена антивирусная компонента, то она может конфликтовать с монитором AVAST, аналогично с фильтрами трафика

  7. #6
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    7
    Вес репутации
    34
    2drongo
    когда читаете инструкцию, нужно исполнять точно. Почему до сих пор этого не сделано, объясните.восстановление системы не отключили, антивирус с файрволом тоже забыли отключить.
    признавая свою криворукость, я подробно описываю симптомы и следую точно инструкции
    отключить систему восстановления !!!
    отключить интернет, антивирус и файрвол(чтобы было вам удобней отключить их автостарт ) -> {можно их вообще удалить, как видно заражение пропустили- значит нужно их менять/переинсталировать/настраивать на более жёсткиe настройки }
    отключал систему восстановления(с перезагрузкой)
    отключал антивирус и фаервол
    отключал интернет
    настройки все по максимуму
    что у вас от pctools ? плохо удалился?
    не забывать правой кнопкой запускать avz от имени администратора.
    pc tools вообще выключен. периодически пользуюсь для проверки - был случай когда только он нашел трояна
    -включить AVZPM(
    http://virusinfo.info/showthread.php?t=12316 )
    -повторить логи, только пожалуйста не придумывайте что либо сами.
    AVZPM при проверке был включен.
    делаю все как вы говорите.
    ___________________

    2Зайцев Олег
    да, стоит официальная Vista premium

    2. Если компонента Groove в офисе не применяется, то лучше ее деинсталлить, воспользовавшись деинсталлятором офиса из "Установка и удаления программ". Это глючная вешь, внедряет свои DLL куда ни попадя ... Аналогично с программой Bonjour
    3. В файле HOSTS какая-то странная запись - "::1 localhost"
    4. В браузере имеются зловредные тулбюры, в частности Ask Toolbar. Их нужно деинсталлировать, если не найдутся деинсталляторы, то их можно прибить скриптом:
    спасибо, Ask Toolbar выключил и как то забыл. исправлю.

    Теперь по глюкам - в принципе система могла бы и не загрузиться - судя по логу виден Outpost в полном развороте, в плюс к нему стоит PCTOOLS CONTENT FILTER PROVIDER, да плюс еще avast!. Если в Outpost включена антивирусная компонента, то она может конфликтовать с монитором AVAST, аналогично с фильтрами трафика
    pctools конфликтовал с outpost и я его выключил.
    outpost работает только как фаервол(стоит на максимуме и запоролен)
    avast только как антивирус
    ____
    сделаю диагностику еще раз. спасибо за участие
    Последний раз редактировалось e1t1; 25.10.2008 в 14:20.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Я загадаю вам загадку:
    Есть например 30 разных антивирусов .Также есть
    30 уникальных вирусов в колекции.
    Каждый антивирус знает только 1 вирус из этой коллекции, а другие антивирусы его не знают.
    Вопрос:Вы поставите все 30 антивирусов ?

  9. #8
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    7
    Вес репутации
    34
    2drongo
    что сделано
    1) отключены точки восстановления
    2) в auslogic boost speed через редактор служб виндоус отключены аутпост(значок стал серым) и аваст
    3) редактор служб показывает что pctools отключен(был бы включен с атупостом конфликтовал бы)
    4) запущен ваш скрипт
    5) ребут
    6) загружается винда и что я вижу:
    автоматическая маршрутизация ничего не маршрутизирут (cmd.exe вроде) (скорее всего это и есть та подмена о которой говорит AVZ)
    отсутствие обоев - иконки на черном фоне и вот такие заявления

    подключение к интернету стало невозможным!
    и активизировался OAK, а до скрипта был отключен!!
    попытался(попытка не пытка) востановить через безопасный режим и
    при нажатии альт-Ф8(на DELL такая система) вошел в окно выбора безопасного режима и... а клава то не работает.
    попытался просто откатить до последней удачной конфигурации - тоже не получилось, а раньше при отключеном востановлении последняя конфигурация востанавливалась.
    прошу вас, нет умоляю! перепишите скрипт, откатите систему обратно!
    месторасположение AVZ c:\users\olbanec\desktop\avz4\avz4\quarantine

    кстати:
    В файле HOSTS какая-то странная запись - "::1 localhost"
    возможно это указывает на то что на ноуте две оси?
    убунта загружается через загрузчик висты.
    пишу вам с линуха, но очень нужна виста в состояние "до скрипта" . поверьте, очень надо.
    но раз уж ввязался в это дело, то вот вам последние логи сделаные как вы сказали.
    +
    -пришлите карантин согласно приложения 3 правил ... http://virusinfo.info/upload_virus.php?tid=32619
    Результат загрузки
    Файл сохранён как 081024_144233_2008-10-24_49022529a21a9.zip
    Размер файла 18499978
    MD5 dec19b7a443bb379e0a19a7eff59a397
    Файл закачан, спасибо!

    файл не запоролен как там просили. простите мою невнимательность-температура кроет.

    надеюсь на вашу помощь. спасибо.

    п.с. ask tool bar , bounjour, Groove и open office удалил перед диагностикой
    Вложения Вложения
    Последний раз редактировалось e1t1; 24.10.2008 в 23:47.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    да вроде не трогали ваш dell wireless. А переставить его есть возможность?
    удалите полностью все программы защиты через панель управления.

  11. #10
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    7
    Вес репутации
    34
    Цитата Сообщение от drongo Посмотреть сообщение
    да вроде не трогали ваш dell wireless. А переставить его есть возможность?
    удалите полностью все программы защиты через панель управления.
    само тронулось, да?
    DeleteFile('C:\PROGRA~1\ADVANC~1\aKiller.dll'); это имеет отношение к авасту
    DeleteFile('C:\Windows\System32\bcmwlrmt.dll') это имеет отношение к делл вайрлесс
    DelBHO('{A692062A-11A1-461B-BE98-B520F01F96FC}') имеет отношение к
    C:\PROGRA~1\ADVANC~1\aKiller.dll


    короче, троянов и кейлогеров вы там не нашели?
    и зачем я должен удалять все программы защиты?

    вы можете написать скрипт который откатитит все назад - востановит удаленые файлы и из карантина вернет все на свои места? да/нет


    п.с. попробовал с помощью авз вытащить файлы из карантина
    dell wireless вроде востановилось, но все подключения стерлись, UAC никак не отключается.
    как вернуть все в состояние "до скрипта"?

    п.п.с. uac никак не отключается ни через win+r. никак. зверски понижен в правах.
    мой мозг kernel panic
    Последний раз редактировалось e1t1; 25.10.2008 в 15:54.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Я скажу почему я их решил удалить: оба не имеют подписи, к авасту отношение вряд ли имеют, скорее уж к http://www.greatis.com/appdata/d/a/akiller.dll.htm

    Очень жаль, что компания делл не подписывает свои дрова.Виноват, поспешил.

    Я так понял вы уже вернули работоспособность dell wireless.
    *в любом случае в карантине вы найдёте файлы которые удалились.(нужно переименовать назад, в ini указано имя в оригинале)
    Затем если в длл нет само -регистрации нужно в ручную зарегистрировать.Вот статья: http://www.tech-faq.com/register-dll.shtml
    Можно програмой( Прикрепил регистартор с графическим интерфейсом, если с комнадной строкой не хотите возиться.
    Само собой выбрать нужный файл в левом окошке и нажать на register ) , a можно вот так http://www.pronetworks.org/forum/abo...15bbd6557ef308

    *ответа из лаба пока нет, так что уверенно сказать не можем был ли вирус или просто глюки из-за программ защиты.

    *насчёт удаления ваших продуктов защиты- просто судя по описанию вами странных глюков- они могут быть виной, особенно когда продукты защиты с пересекающимися возможностями. Даже если отключены, драйвера то могут мешать друг другу.

    P.s. а что с uac то стряслось? , вот они ваши глюки совсем хотите отключить? тогда вот: http://www.petri.co.il/disable_uac_in_windows_vista.htm
    Вложения Вложения
    Последний раз редактировалось drongo; 25.10.2008 в 21:12.

  13. #12
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    7
    Вес репутации
    34
    новый глюк: открываю окно дефолтных игр и система подвисает, пишет что винда не отвечает и как то быстро рестартит. работающие программы закрываются.

    по поводу aKiller.dll смотрел пути показывало что от это от аваста. может через дыру в авасте и впарили.
    скорее всего и был руткит, потомучто лампочка процессора помигивала подозрительно, легкие тормоза были и какой то не понятный трафик/ в любом случае ответ из лабы сообщите.

    но почему в результате исполнения скрипта винду покорежило так сильно?

    насчёт удаления ваших продуктов защиты- просто судя по описанию вами странных глюков- они могут быть виной, особенно когда продукты защиты с пересекающимися возможностями. Даже если отключены, драйвера то могут мешать друг другу.
    работало нормально все до недавнего времени.

    если линух через загрузчик винды загружается, то если переустановить винду с форматированием линух тоже переустанвливать придется?
    никакой настройки в висте не предусмотрено?

    по поводу UAC пробовал и нормальным образом отключать и через msconfig.
    в msconfig вообще какие то настройки левые стали и не меняются.

    прогой Handy Recovery востановил два бэкапа один 3,5 гига второй почему то 300 кб(плохо востановился?)
    каким макаром его вставить в system volume information? тотал командер пишет что system volume information работает и открыть нельзя. в безопасном режиме с командной строкой пишет что тоже прав нету.
    как вставить бэкап в system volume information?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Вероятно вам просто везло и тут везение кончилось.Возможно скрипты авз послужили катализатором. Собственно, какая проблема попробовать все программы защиты удалить, всё равно ведь винда глючит.
    Насчёт "как вставить бэкап в system volume information? " это по моему не предусмотрено. system volume information- это дело пошло с winme и до сих пор не довели до ума,возвращает не всё и то что возвращает и то не всегда.Я бы посоветовал посмотреть в сторону альтернатив.
    Если ли линукс стоит на другом логическом диске то ничего страшного не случиться, максимум что произойдёт затрётся загрузчик линукса, возвращается за несколько минут.если не в курсе, у нас раздел линукса есть, если сами не найдёте, подскажем.
    Вот если на одном и том же, то "труба".

  15. #14
    Junior Member Репутация
    Регистрация
    23.10.2008
    Сообщений
    7
    Вес репутации
    34
    из лаборатории ответ пришел?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Цитата Сообщение от e1t1 Посмотреть сообщение
    из лаборатории ответ пришел?
    Получился у вас слишком большой архив ( наверно забыли про него), я взял только файлы C:\PROGRA~1\ADVANC~1\aKiller.dll
    C:\Windows\System32\bcmwlrmt.dll
    и послал. Сказали что чистые. Извините за неудобство.

  • Уважаемый(ая) e1t1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проконсультируйте!
      От eX1Go2 в разделе Аппаратное обеспечение
      Ответов: 4
      Последнее сообщение: 15.08.2010, 00:13
    2. Проконсультируйте!
      От eX1Go2 в разделе Антивирусы
      Ответов: 2
      Последнее сообщение: 14.08.2010, 22:55
    3. проконсультируйте
      От cherva в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.08.2010, 18:46
    4. проконсультируйте плиз
      От BOT в разделе Сетевые атаки
      Ответов: 2
      Последнее сообщение: 29.02.2008, 18:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00814 seconds with 17 queries