Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Объявляю войну (вирусам). Требуются опытные военачальники. (заявка № 8451)

  1. #1
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63

    Thumbs up Объявляю войну (вирусам). Требуются опытные военачальники.

    Началось всё с обнаружения в надстройках IE(и загружаемые и используемые) товарищей под названием ipv6monk.dll и ipv6monl.dll.
    Стал действовать по Вашей инструкции.
    Правда там ничего не сказано о запуске Двеба, а я его запустил первым.
    Результат:
    csrss.exe - Win32.HLLM.Perf - удалён
    ipv6monk и ipv5monl - требуется перезагрузка
    После перезагрузки все осталось по прежнему, правда братцы стали маскироваться - названия надстройки появилось как
    {36DBC179-A19F-48F2-B16A-6A3E19B42A87}
    i
    {21384D29-1240-2D4F-A15C-17E42823D523}
    А ИМЕНА

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63
    сейчас продолжу - почему то выкинуло на авторизацию

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Лучше выполняйте правила
    http://virusinfo.info/showthread.php?t=1235

  5. #4
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63

    Правила эт хорошо

    Но я не специально.
    Очень много раз перечитывал но пока есть пробелы

    а имена остались прежние, да и Win32.HMLL.Perf никуда не делся

    Дальше началось с AVZ.

    При попытке запуска первого скрипта ситема отрубилась примерно через три -пять секунд - ушла на перезагрузку.
    Загружалась через синий экран- сканирование отменил.
    Повторный результат(первый скрипт) - был успешный.
    После перезагрузки - система обнаружила неизвестное устройство, которое не удолось идентифицировать, кроме того слетел драйвер контроллера последовательной шины ЮСБИ - восстановил.
    Идентификация неизвестного устройства через диспетчер устройств оставила больше вопросов чем ответов.
    Код 28.
    На вкладе Сведения, свойств неизвестного устройства -
    написано - ROOT\LEGACY_AVZRK. Из чего я сделал вывод что это как-то связано с AVZ

    Запуск второго скрипта и HijackThis прошел без осложнений.
    и
    В этот момент я понял (тормоз), что Двеб запускается автоматически и сканировал ранее только один диск у меня млин четыре,.. и я запустил его ещё раз на всех.
    Результаты окзались очень необычними- он обнаружил 138 инфицированных файлов, правда больше 90% инфицированы были Win32.HLLM.Perf, но среди остальных 7- 8 троянов находились в файлах AVZ. - ето карантин я понимаю?

    Тысяча извенений за невольное нарушение правил но йа сам по вирусом, високая температура - медленно доходит
    Вложения Вложения
    Последний раз редактировалось rellod; 16.03.2007 в 20:25. Причина: пристегнуть логи

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('appmgmts.dll','');
     QuarantineFile('G:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('G:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
     DeleteFile('G:\WINDOWS\system32\cssrss.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

  7. #6
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63

    Отправил запрошенный файл

    Файл загрузил, но...
    Когда сегодня включил комп он загрузился с пустым рабочим столоми отсутствием панели меню пуск, тоже полностью, там часы, рус\инглишь всякие - ничего нет.
    Работу смог продолжить только потому, что одновременно включается окно проводника.
    Доступ к настройке меню пуск через панель управления отсутствует, рабочий стол есть только в проводнике.

    Когда запускал ваш скрипт он не смог перезагрузить комп - только ресет помог

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(5);
     ExecuteRepair(8);
    end.
    и перезагрузите компьютер через меню "Пуск". Должно помочь. Повторите логи.

  9. #8
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63
    скрипт выполнил, но меню пуск отсутствует! как перезагрузить - ресетом?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    А я уже стал сомневаться правильно ли, что я его удалил... До или после выполния скрипта Вы больше ни чего не делали в системе? Может сами какой процесс завершили? Сомневаюсь что удаление опасного трояна связанно с исчезновением рабочего стола. Единственное что приходит на ум, так это возможные последствия после кнопки reset. Какая у Вас файловая система? После выпонения скрипта система перезагружается дольше обычного и создается впечатление будто Windows зависла, но в самом деле это не так. Перезагрузите так: Нажмите Alt-Ctrl-Delete. Завершение работы - Перезагрузка. После перезагрузки постарайтесь получить логи.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Почитайте тут Это должно помочь.

  13. #12
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63

    Да, отлично

    Пуск и рабочий стол на старом месте
    Я к моменту исправления подготовил уже новые логи.

    Кстати ipv6monk i ipv6monl пока фигурируют - это нормально?
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('G:\Documents and Settings\Алекс\Рабочий стол\Ты\Sh.exe','');
     DeleteFile('G:\WINDOWS\csrss.exe');
     DeleteFile('G:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     DeleteFile('G:\WINDOWS\system32\ipv6monl.dll');
     DeleteFile('G:\WINDOWS\system32\ipv6monk.dll');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=
    O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - G:\WINDOWS\system32\ipv6monl.dll (file missing)
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - G:\WINDOWS\system32\ipv6monk.dll (file missing)
    O20 - Winlogon Notify: arm32reg - G:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
    Пришлите файлы карантина по правилам раздела "Помогите".
    Повторите логи, а также добавьте файл 'bclr.log' из папки AVZ.
    Срочно поменяйте все пароли, которые хранились в компьютере (браузер, почтовый клиент, ICQ-клиент и так далее).

  15. #14
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63

    сделал

    Стол в начале еще раз улетал - но мы опытные теперь, вернули.

    Когда фиксил, у Джека первой строчки из вашего поста небыло, а последняя была покороче.

    Этого -"G:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)" - небыло.

    К сожалению не нашел 'bclr.log'
    Последний раз редактировалось rellod; 17.03.2007 в 17:16. Причина: логи не пристегнулись

  16. #15
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63
    насчет паролей - браузер без пароля, почтовым клиентом не пользуюсь с этого компа - только интернет почта типа майл.ру,...айсикью, мэйлагент удалил,... ну вообщем можно сказать сделал как просили

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Имелось ввиду 'boot_clr.log'.
    Найдите его и сделайте логи п.10 и 12 правил.

  18. #17
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63

    не пристегивается чтой-то

    Логи сделал, но они не пристегиваются - 2 раза пробовал
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    пофиксить -
    Код:
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

  20. #19
    Junior Member Репутация
    Регистрация
    16.03.2007
    Сообщений
    19
    Вес репутации
    63
    Цитата Сообщение от Bratez Посмотреть сообщение
    Имелось ввиду 'boot_clr.log'.
    Такого тоже нету. ?(

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах все чисто, только два замечания:
    1. На рабочем столе в папке "Ты" лежит подозрительный файлик Sh.exe, если не знаете, что это, лучше удалите.
    2. Поставьте антивирус! Я бы рекомендовал Kaspersky Internet Security 6.0, хотя выбирать конечно Вам.

    Удачи!

  • Уважаемый(ая) rellod, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Требуются переводчики
      От pig в разделе Спам и мошенничество в сети
      Ответов: 1
      Последнее сообщение: 23.04.2009, 13:51
    2. Требуются ведущие разделов
      От Geser в разделе Информационные сообщения
      Ответов: 19
      Последнее сообщение: 22.06.2008, 23:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00701 seconds with 20 queries