Решена Профилактика

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Владислав, 20 фев 2009.

Статус темы:
Закрыта.
  1. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Прошу глянуть логи и подсказать, есть ли что то вредное. Буду очень благодарен. И есть еще один вопрос можете ли вы помочь с вирусами на флешке?Точно не знаю содержат ли информацию info.txt и log.txt т.к. HijackThis ругался.Скрин в вложениях.
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\MEMIO.SYS','');
     QuarantineFile('C:\PROGRA~1\FOLDER~1\FGH32.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
     DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
     DelBHO('{18DF081C-E8AD-4283-A596-FA578C2EBDC3}');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


    C:\WINDOWS\tasks\Быстрое решение проблем.job - знакомо?

    Радмин сами устанавливали?

    Повторите логи с вставленной флешкой.
     
  3. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    1. Знакомо сам выставлял авто запуск
    2. Радмин также сам ставил
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
  5. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Всё зделал, но ничего не вышло. Возможно проблемы в самой флешке внешние повреждения и т.д. ? :mda:
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
    _desktop.ini - в архив с паролем virus (если еще файл остался) и отправить мне akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Насчет флешки:
    Попробуйте воспользоваться HDD Low Level Format Tool
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
    Как и ожидал, в файле ничего нет...совсем ничего.
     
  8. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Hard Disk Low Level Format Tool ничего не зделал. Но если он пуст как тогда объяснить это ?? Форум наверно сжал картинку.
     
    Последнее редактирование: 25 фев 2009
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
    Скрин маленький не вижу детекта. Можно с большим расширением?

    Попробуйте написать сюда и указать в категории запроса "Ложное срабатываение".
     
  10. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    2-й компьютер

    Прошу посмотреть логи с 2 компьютера. Есть ли в нем что то вредное ?
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\WINDOWS\NV34763480.TMP
    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Чисто. Какие с ним проблемы?

    Рекомендую обновить IE до 7 версии, да и SP не помешает.
     
  12. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Жалоб как таковых нет. А обновить не могу т.к. нету возможности подключить его к интернету.
    Код (Text):
    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    C:\WINDOWS\NV34763480.TMP moved successfully.
    ========== REGISTRY ==========
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Temporary Internet Files folder emptied.
    User's Internet Explorer cache folder emptied.
    Local Service Temp folder emptied.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    Local Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Temp folders emptied.
    Explorer started successfully
     
    OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02262009_184405

    Files moved on Reboot...
    File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
     
  13. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Есть несколько жалоб, когда хочу завершить какой-либо процесс в диспетчере задач сразу блокируется ввод с клавиатуры и мыши, и так всегда, и еще файрволл сечет какието вобще непонятные процесы, и ДНС запросы... и при запуске появляется какой-то новый процесс хотя я его не запускал или у меня вобще нету этой программы например uTorrent.exe у меня на компъютере торрента и впомине нету.Прошу глянуть логи :unknw: может есть что.
     
  14. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    c:\WINDOWS\10st.dll, c:\WINDOWS\3dy.dll, c:\WINDOWS\74m.dll, c:\WINDOWS\bs.dll, c:\WINDOWS\Mrnop.dll, c:\WINDOWS\pr0m.dll, c:\WINDOWS\r3cc4.dll - проверьте на virustotal.com и выложите ссылки на результаты проверки

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\xinstall.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес [​IMG] В теле письма укажите ссылку на тему.

    Повторите логи.
     
  15. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
    Скачайте Icesword
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл руткита:
    C:\WINDOWS\system32\drivers\xinstall.sys
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".
    Перезагрузите компьютер.

    Пофиксить в HijackThis следующие строчки
    Код (Text):
        O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
        O3 - Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)    O9 - Extra button: (no name) - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - (no file) (HKCU)

    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    Повторите логи.
     
  17. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    IceSword не запускается пишет ошибки :
    Код (Text):
    1:  "Initialize failed, error code: 1."
    2: " Initialize failed"
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
  19. Владислав
    Оффлайн

    Владислав Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Вот логи, изменений не вижу, в процессах висят некие :
    calc.exe
    Код (Text):
    C:\Program Files\Outlook Express\msimn.cfg\volume.ini
    ChamClock.exe
    Код (Text):
    C:\Program Files\Sony Setup\Vegas 7.0\mediamgr.dat\convert.ini
    FineReader.exe
    Код (Text):
    C:\Program Files\Microsoft SQL Server\80\tools.ico\user.ini
    и то подобное не относящееся к моей системе, но всё пропало с процессов после того как их ДНС запросы были заблокированы файрволом.:unknw: чё за бред не могу понять. Кстати C:\WINDOWS\system32\drivers\xinstall.sys я так и не нашел .
     
    Последнее редактирование: 6 мар 2009
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.454
    Симпатии:
    13.953
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Sony Setup\Vegas 7.0\mediamgr.dat\convert.ini\ChamClock.exe .','');
     QuarantineFile('C:\Program Files\Sony\Vegas 7.0\video plug-ins.cfg\connect.ini\mirc.exe .','');
     QuarantineFile('C:\Program Files\Radmin Viewer 3.0\addbacktrayicon.dat\channel.ini\StyleXP.exe .','');
     QuarantineFile('C:\Program Files\QIP Infium\Smilies\qip infium smilies.log\read.ini\msmsgs.exe','');
     QuarantineFile('C:\Program Files\Alcohol Soft\Alcohol 120\starwind.txt\info.ini\WinRAR.exe .','');
     QuarantineFile('C:\Program Files\Alky for Applications\Libraries\manifest.dat\format.ini\wordpad.exe .','');
     QuarantineFile('C:\Program Files\Common Files\GTK\GTK.dll\library.ini\Hcontrol.exe .','');
     QuarantineFile('C:\Program Files\AIMP2\System\aimp_mmk.ini\perform.ini\Total.exe .','');
     QuarantineFile('C:\Program Files\Microsoft SQL Server\80\tools.ico\user.ini\FineReader.exe .','');
     QuarantineFile('C:\DOCUME~1\F085~1\LOCALS~1\Temp\aujasnkj.sys','');
     QuarantineFile('C:\Program Files\Download Master\temp\dbans.txt.cfg\event.ini\WinRAR.exe','');
     QuarantineFile('c:\program files\alcohol soft\alcohol 120\starwind.txt\info.ini\winrar.exe','');
     QuarantineFile('c:\program files\download master\temp\dbans.txt.cfg\event.ini\winrar.exe','');
     QuarantineFile('c:\program files\alky for applications\documentation\manual.txt\result.ini\regetdx.exe','');
     QuarantineFile('c:\program files\windows nt\accessories\mswrd6.ico\event.ini\miranda.exe','');
     QuarantineFile('c:\program files\outlook express\msimn.cfg\volume.ini\calc.exe','');
     QuarantineFile('c:\program files\sony\shared plug-ins\utilities.txt\message.ini\avp.exe','');
     DeleteFile('c:\program files\sony\shared plug-ins\utilities.txt\message.ini\avp.exe');
     DeleteFile('c:\program files\outlook express\msimn.cfg\volume.ini\calc.exe');
     DeleteFile('C:\DOCUME~1\F085~1\LOCALS~1\Temp\aujasnkj.sys');
     DeleteFile('kdzw.sys');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


    Интересно....
     
Статус темы:
Закрыта.

Поделиться этой страницей