-
Junior Member
- Вес репутации
- 63
Ничего не понимаю, прошу помочь!!!
Сидит вирус, похоже brantok. AVZ однако не видит. HT не открывает - сразу сворачивает. AVZ пишет:
Функция NtClose (19) перехвачена (80581355->F77CE81, перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8057AA2E->F77CE7D0), перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePagingFile (2D) перехвачена (805AB7A0->F77C2A20), перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8057D323->F77C32A, перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8056A5F7->F77CE910), перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (8058272F->F77CE794), перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80573460->F77C32C, перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (805833FB->F77CE866), перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (F1) перехвачена (80642B4C->F77CE0B0), перехватчик UP55bus.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 9, восстановлено: 9
Однако после перезагрузки все встает на свои места!!!!
И главное AVZ докладывает, что
Проверка завершена
Просканировано файлов: 258, извлечено из архивов: 0, найдено вредоносных программ 0
Все хорошо прекрасная маркиза!!!!
HT-лог был сделан после отключения процессов.
Прошу помочь разобраться!!!
С уважением.
Вложение 7262
Вложение 7263
Последний раз редактировалось Vilur; 01.03.2007 в 09:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт компьютер перезагрузиться
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\n4695\sv71887430r.exe','');
QuarantineFile('C:\WINDOWS\j6194522.exe','');
QuarantineFile('C:\WINDOWS\o4194527.exe','');
QuarantineFile('c:\windows\us9822\ib4425.exe','');
QuarantineFile('c:\windows\system32\n4695\winlogon.exe','');
QuarantineFile('c:\windows\system32\n4695\services.exe','');
QuarantineFile('c:\windows\system32\n4695\lsass.exe','');
QuarantineFile('c:\windows\system32\n4695\b4425.exe','');
QuarantineFile('c:\windows\system32\n4695\csrss.exe','');
DeleteFile('c:\windows\system32\n4695\csrss.exe');
DeleteFile('C:\WINDOWS\j6194522.exe');
DeleteFile('c:\windows\system32\n4695\b4425.exe');
DeleteFile('c:\windows\system32\n4695\lsass.exe');
DeleteFile('c:\windows\system32\n4695\services.exe');
DeleteFile('c:\windows\system32\n4695\winlogon.exe');
DeleteFile('C:\WINDOWS\o4194527.exe');
DeleteFile('C:\WINDOWS\System32\n4695\sv71887430r.exe');
ExecuteSysClean;
RebootWindows(true);
end.
после перезагрузке папку AVZ-Quarantine-сегодняшнее число заархевировать и закачать как указано в правилах..
возможно пропадёт рабочий стол, через диспетчер задач, откроете AVZ - во вкладке файл найдёте востановление системы, отметите галочкой 5 и 13 пункт и выполните..
и повторите логи AVZ..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Один из советов - прогнать Cure-it от Dr.Web, ссылка в Правилах.
Если Винда лицензионная, то поставить SP2.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Спасибо. Пробовал это сделать: все осталось по-прежнему
-
Junior Member
- Вес репутации
- 63
"отметите галочкой 5 и 13 пункт и выполните.."
увидел только пукты от1-12, 13 нет!!!
-
хм у меня что особеный AVZ с 15ю пунктами, вы вобще его перед сканирование обновляли?
логи повторите..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Junior Member
- Вес репутации
- 63
Тото и оно, что при прогоне Cure-it от Dr.Web, AVZ распазнает как инфицированный, а насчет обновления самый последний от 29.12.06!
-
кнопку обновления в самой AVZ надо нажимать иногда , у меня помогло и тоже 15 пунктов
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось Vilur; 01.03.2007 в 09:35.
-
Junior Member
- Вес репутации
- 63
При попытке обновления вывешивает "Ошибка в ходе автоматического обновления..." Пробовал неоднократно.
-
Ну вроде всё пофиксите в HijackThis
Код:
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\o4194527.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\j6194522.exe
O4 - HKLM\..\Run: [A3003r] "C:\WINDOWS\j6194522.exe"
O4 - HKCU\..\Run: [y1398Use] "C:\WINDOWS\System32\n4695\sv71887430r.exe"
ну и сами файл hosts почистите, или обновите AVz и в востановлении пункт 13 отметьте,
отключите востановление системы, почистите планировщик заданий, думаеться не вы этот файл туда ставили (C:\Documents and Settings\User\Local Settings\Application Data\jalak-93887415-bali.com)..
и вот эти четыре файла удалите C:\WINDOWS\system32\c_19452k.com
C:\WINDOWS\_default19452.pif
C:\Documents and Settings\User\Local Settings\Application Data\dv688740x\yesbron.com
C:\Documents and Settings\User\Local Settings\Application Data\jalak-93887415-bali.com
Последний раз редактировалось Ego1st; 28.02.2007 в 23:45.
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Junior Member
- Вес репутации
- 63
Brontok жил, жив и будет видать жить ссс...ка!!!!
Все востанавливает подлец!
Что делать???
-
что он востанавливает..
повторите логи АВЗ..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Junior Member
- Вес репутации
- 63
Значит так:
- просто открыть HijackThis и профиксить не удается - программа сворачивается и все.
Я делаю так: открываю в AVZ диспетчер процессов, удаляю те в которых видно следы brontok и только после этого можно выполнить "фикс", при этом вылетает окно предупреждения. Но после перезагрузки все встает на свои места.
-
Junior Member
- Вес репутации
- 63
Вот логи. Их загрузить удалось тоже после удаления brontok-файлов из процесса
Последний раз редактировалось Vilur; 24.06.2007 в 14:41.
-
Свежие базы AVZ тут: http://z-oleg.com/secur/avz_up/avzbase.zip
Файл virusinfo_cure.zip зря на форум выложили.
Службу восстановления системы отключили?
И может вам какой-нибудь антивирус установить?
-
-
перед выполнение отключите востановление системы, потом выполняете скрипт.. после перезагрузке чист
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\n4695\csrss.exe');
DeleteFile('c:\windows\system32\n4695\b4425.exe');
DeleteFile('c:\windows\us9822\ib4425.exe');
DeleteFile('c:\windows\system32\n4695\lsass.exe');
DeleteFile('c:\windows\system32\n4695\services.exe');
DeleteFile('c:\windows\system32\n4695\winlogon.exe');
DeleteFile('C:\WINDOWS\j6194522.exe');
DeleteFile('C:\WINDOWS\System32\n8127\sv711917030r.exe');
DeleteFile('C:\WINDOWS\System32\n4695\sv71887430r.exe');
DeleteFile('C:\WINDOWS\o4194527.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\jalak-93887415-bali.com');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\dv6191700x\yesbron.com');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\jalak-931917015-bali.com');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\dv688740x\yesbron.com');
DeleteFile('C:\WINDOWS\system32\c_19452k.com');
DeleteFile('C:\WINDOWS\system32\cdshell.bak');
ClearHostsFile;
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
end.
потом фиксите в HijackThis то что я сверху написал, делаете новые логи AVZ и прикладываете файл boot_clr.log из папки AVZ
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Junior Member
- Вес репутации
- 63
Уважаемый Ego1st!
Спасибо за терпение с которым Вы помогаете мне в моих проблемах!!!
Скрипт выполнил, перегрузил, но HijackThis сразу сворачивается при попытке открыть его. При просмотре Диспетчера процессов файлы с brontok на месте.
Выполнение инструкций невозможно.
-
Junior Member
- Вес репутации
- 63
HijackThis не сворачивается после прогона Cure-it от Dr.Web.
Последний раз редактировалось Vilur; 24.06.2007 в 14:41.
-
CureIt находит что-нибудь?
Nod детектит как D:\avz00019.dta Win32/Pazetus.J червь
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-