Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

При проверке трояна виснут антивирусы и AVZ (заявка № 88817)

  1. #1
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26

    Exclamation При проверке трояна виснут антивирусы и AVZ

    Доброго дня уважаемому экспертному сообществу!

    Антивирус (Нортон) при подключении компа к И-нету постоянно сигнализирует о том, что кто-то пытается отправлять спам по куче е-мэйл-алресов через почтовую программу (я ей, впрочем, не пользуюсь).

    Как Нортон, так и AVPtool при проверке системы или папок зависают, как правило - при проверке WINDOWS\System32. Та же участь постигает AVZ, зависает наглухо в самом-самом конце выполнения первого требуемого согласно Правил стандартного скрипта, при проверке:
    C:\WINDOWS\System32\dllcache\apps.chm/{CHM}//idh_w2_52004.htm

    При попытке выполнить второй скрипт тоже зависает.

    Поэтому приложить могу лишь лог проверки Hijack-ом.

    В папке "Автозагрузка" -куча "левых" exe-шников, ЕМНИП, все одного размера, свободно удаляются вручную - но по ходу времени воспроизводятся (каждый раз, кажется, под новыми именами).

    В папке C:\Documents and Settings\1\Application Data ("1" - это, соответственно, имя пользователя) лежит файл juzjf.exe, его удается "отложенно удалить" при помощи AVZ, но потом он снова появляется.

    В папке C:\Documents and Settings\1 и в C:\WINDOWS\System32 лежит файл jyfliflaЋ.exe (на 100% насчет последнего символа не уверен, переписываю на другом компе с бумажки; в общем, кажется, это сербское "Ч"), удаляется вручную свободно, но потом снова воспроизводится.

    В папке C:\WINDOWS\System32\ лежат также три файла со свежей датой: uti3otqy.sys (ЕМНИП, знакомое имячко, уже как-то боролся с таким), ndis.sys и chqzuvmz.sys

    В папке C:\Documents and Settings\1\Local Settings\Temp несколько явно "левых" exe-шников, AVZ пока работает, их видит и опознает как опасные.

    Проверку папки C:\Documents and Settings\1 при помощи AVZ выполнить удалось, если надо, могу разместить тут протокол.

    Случай, как я понимаю, тяжелый, но надеюсь на удачу и заранее благодарю.
    Вложения Вложения
    Последний раз редактировалось borbesk; 27.09.2010 в 10:45.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    525
    - сделайте лог Combofix

  4. #3
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    Тоже не пошло. После 17 пункта задумывается надолго...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    525
    1.Профиксите в HijackThis
    Код:
    O4 - HKLM\..\Run: [jyflifvaЋ] C:\WINDOWS\System32\jyflifvaЋ.exe
    O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\1\LOCALS~1\Temp\2963.exe
    O4 - HKCU\..\Run: [jyflifvaЋ] C:\Documents and Settings\1\jyflifvaЋ.exe
    - попробуйте сделать логи таким AVZ

  6. #5
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    Нет, по-прежнему логи делает только HijackThis.

    Разместить его свежий лог?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    525
    попробуйте сделать лог Combofix в безопасном режиме

  8. #7
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    попробуйте сделать лог Combofix в безопасном режиме
    Прошу прощения за задержку.
    Удалось, прилагаю лог.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    92,876
    Вес репутации
    2964
    c:\windows\system32\drivers\ndis.sys
    c:\windows\system32\dllcache\ndis.sys
    Замените файлы с дистрибутива http://virusinfo.info/showthread.php?t=51654

    c:\windows\System32\drivers\beep.sys восстановите по той же инструкции

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\drivers\chqzuvmz.sys
    c:\program files\Common Files\Files.rar
    c:\program files\Common Files\ajuzaju.scr
    c:\program files\Common Files\fyvot.bat
    
    Driver::
    chqzuvmz
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    Системные файлы заменить не удается. Правда, перед этим при входе в консоль восстановления и пароль администратора не спрашивают.

    Скрипт ComboFix-а все равно выполнить или как ?

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    92,876
    Вес репутации
    2964
    Не заменив файлы, продолжать лечение бессмысленно
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    Попытаюсь разобраться еще раз.

  13. #12
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    Снял опцию "автоматически входить с правами администратора в консоль восстановления" - чтоб уж наверняка. Ввел пароль администратора, все по инструкции... но заменить системные файлы все равно не удается. Отказывается, и все тут - "0 файлов распаковано" (у меня на дтстрибутиве они " *.sy_ ")... Дистрибутив тот, точно.

    Можно ли еще что-нибудь сделать - или это уже все?

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    92,876
    Вес репутации
    2964
    Попробовать это сделать с какого-либо LiveCD
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    С Live CD требуемые системные файлы распаковались-заменились.

    Требуемый скрипт Combofix выполнил снова только в безопасном режиме.
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    525
    - Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

  17. #16
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    Выполнил, выкладываю.
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    525
    - Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Поставте все последние обновления системы Windows - тут

  19. #18
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    Карантин загружен. Ввел пароль "virus", как там было написано.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    525
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\002.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\243.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\381.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\466.exe');
    DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\485.exe');
      DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\631.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\899.exe');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\997.exe');
    DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\g9c1yuupgg.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\hcc6ou70vrm.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\oojffbrr.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\pa6hm3oo.exe');
    DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\vlbc70dzuu6.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\zzvllhxx.exe');
     DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\6kk6bc7.exe');
     DeleteFileMask('C:\Documents and Settings\1\Local Settings\Temp', '*.*', true);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте лог MBAM

  21. #20
    Junior Member Репутация
    Регистрация
    23.04.2010
    Сообщений
    33
    Вес репутации
    26
    Опцию "удалить зараженные файлы" я не выбирал. Правильно?
    Среди зараженных файлов - элемент карантина из одной из летних проверок AVZ...
    Вложения Вложения

  • Уважаемый(ая) borbesk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Антивирусы виснут.
      От cmeptywka в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.12.2010, 21:10
    2. виснут все приложения
      От Deya_ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.11.2010, 18:38
    3. Виснут приложения
      От odisey в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.03.2010, 22:49
    4. виснут игры помогите
      От sarex85 в разделе Аппаратное обеспечение
      Ответов: 10
      Последнее сообщение: 07.10.2009, 10:02
    5. Виснут приложение Office
      От eppa в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 05.09.2009, 09:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01084 seconds with 18 queries