Решена Профилактика

Статус
В этой теме нельзя размещать новые ответы.

Владислав

Активный пользователь
Сообщения
15
Симпатии
0
Баллы
391
#1
Прошу глянуть логи и подсказать, есть ли что то вредное. Буду очень благодарен. И есть еще один вопрос можете ли вы помочь с вирусами на флешке?Точно не знаю содержат ли информацию info.txt и log.txt т.к. HijackThis ругался.Скрин в вложениях.
 

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,728
Баллы
2,203
#2
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\MEMIO.SYS','');
 QuarantineFile('C:\PROGRA~1\FOLDER~1\FGH32.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
 DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
 DelBHO('{18DF081C-E8AD-4283-A596-FA578C2EBDC3}');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


C:\WINDOWS\tasks\Быстрое решение проблем.job - знакомо?

Радмин сами устанавливали?

Повторите логи с вставленной флешкой.
 

Владислав

Активный пользователь
Сообщения
15
Симпатии
0
Баллы
391
#5
Всё зделал, но ничего не вышло. Возможно проблемы в самой флешке внешние повреждения и т.д. ? :mda:
 

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,728
Баллы
2,203
#6
_desktop.ini - в архив с паролем virus (если еще файл остался) и отправить мне akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Насчет флешки:
Попробуйте воспользоваться HDD Low Level Format Tool
 

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,728
Баллы
2,203
#7
Как и ожидал, в файле ничего нет...совсем ничего.
 

Владислав

Активный пользователь
Сообщения
15
Симпатии
0
Баллы
391
#8
Hard Disk Low Level Format Tool ничего не зделал. Но если он пуст как тогда объяснить это ?? Форум наверно сжал картинку.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,728
Баллы
2,203
#9
Скрин маленький не вижу детекта. Можно с большим расширением?

Попробуйте написать сюда и указать в категории запроса "Ложное срабатываение".
 

Владислав

Активный пользователь
Сообщения
15
Симпатии
0
Баллы
391
#10
2-й компьютер

Прошу посмотреть логи с 2 компьютера. Есть ли в нем что то вредное ?
 

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,728
Баллы
2,203
#11
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\NV34763480.TMP
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Чисто. Какие с ним проблемы?

Рекомендую обновить IE до 7 версии, да и SP не помешает.
 

Владислав

Активный пользователь
Сообщения
15
Симпатии
0
Баллы
391
#12
Жалоб как таковых нет. А обновить не могу т.к. нету возможности подключить его к интернету.
Код:
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\NV34763480.TMP moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02262009_184405

Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
 

Владислав

Активный пользователь
Сообщения
15
Симпатии
0
Баллы
391
#13
Есть несколько жалоб, когда хочу завершить какой-либо процесс в диспетчере задач сразу блокируется ввод с клавиатуры и мыши, и так всегда, и еще файрволл сечет какието вобще непонятные процесы, и ДНС запросы... и при запуске появляется какой-то новый процесс хотя я его не запускал или у меня вобще нету этой программы например uTorrent.exe у меня на компъютере торрента и впомине нету.Прошу глянуть логи :unknw: может есть что.
 

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
Баллы
483
#14
c:\WINDOWS\10st.dll, c:\WINDOWS\3dy.dll, c:\WINDOWS\74m.dll, c:\WINDOWS\bs.dll, c:\WINDOWS\Mrnop.dll, c:\WINDOWS\pr0m.dll, c:\WINDOWS\r3cc4.dll - проверьте на virustotal.com и выложите ссылки на результаты проверки

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\xinstall.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Прислать карантин (файл quarantine.zip из папки AVZ) на адрес
proxy.php?image=http%3A%2F%2Fs51.radikal.ru%2Fi133%2F0902%2F11%2Fae69ba6e8143.gif&hash=817de9516a3f3f79fde45b6109b7a2f4
В теле письма укажите ссылку на тему.

Повторите логи.
 

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,728
Баллы
2,203
#16
Скачайте Icesword
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\drivers\xinstall.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.

Пофиксить в HijackThis следующие строчки
Код:
 	O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
	O3 - Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)	O9 - Extra button: (no name) - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - (no file) (HKCU)

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Повторите логи.
 

Владислав

Активный пользователь
Сообщения
15
Симпатии
0
Баллы
391
#17
IceSword не запускается пишет ошибки :
Код:
1:  "Initialize failed, error code: 1."
2: " Initialize failed"
 

Владислав

Активный пользователь
Сообщения
15
Симпатии
0
Баллы
391
#19
Вот логи, изменений не вижу, в процессах висят некие :
calc.exe
Код:
C:\Program Files\Outlook Express\msimn.cfg\volume.ini
ChamClock.exe
Код:
C:\Program Files\Sony Setup\Vegas 7.0\mediamgr.dat\convert.ini
FineReader.exe
Код:
C:\Program Files\Microsoft SQL Server\80\tools.ico\user.ini
и то подобное не относящееся к моей системе, но всё пропало с процессов после того как их ДНС запросы были заблокированы файрволом.:unknw: чё за бред не могу понять. Кстати C:\WINDOWS\system32\drivers\xinstall.sys я так и не нашел .
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,728
Баллы
2,203
#20
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\Sony Setup\Vegas 7.0\mediamgr.dat\convert.ini\ChamClock.exe .','');
 QuarantineFile('C:\Program Files\Sony\Vegas 7.0\video plug-ins.cfg\connect.ini\mirc.exe .','');
 QuarantineFile('C:\Program Files\Radmin Viewer 3.0\addbacktrayicon.dat\channel.ini\StyleXP.exe .','');
 QuarantineFile('C:\Program Files\QIP Infium\Smilies\qip infium smilies.log\read.ini\msmsgs.exe','');
 QuarantineFile('C:\Program Files\Alcohol Soft\Alcohol 120\starwind.txt\info.ini\WinRAR.exe .','');
 QuarantineFile('C:\Program Files\Alky for Applications\Libraries\manifest.dat\format.ini\wordpad.exe .','');
 QuarantineFile('C:\Program Files\Common Files\GTK\GTK.dll\library.ini\Hcontrol.exe .','');
 QuarantineFile('C:\Program Files\AIMP2\System\aimp_mmk.ini\perform.ini\Total.exe .','');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\80\tools.ico\user.ini\FineReader.exe .','');
 QuarantineFile('C:\DOCUME~1\F085~1\LOCALS~1\Temp\aujasnkj.sys','');
 QuarantineFile('C:\Program Files\Download Master\temp\dbans.txt.cfg\event.ini\WinRAR.exe','');
 QuarantineFile('c:\program files\alcohol soft\alcohol 120\starwind.txt\info.ini\winrar.exe','');
 QuarantineFile('c:\program files\download master\temp\dbans.txt.cfg\event.ini\winrar.exe','');
 QuarantineFile('c:\program files\alky for applications\documentation\manual.txt\result.ini\regetdx.exe','');
 QuarantineFile('c:\program files\windows nt\accessories\mswrd6.ico\event.ini\miranda.exe','');
 QuarantineFile('c:\program files\outlook express\msimn.cfg\volume.ini\calc.exe','');
 QuarantineFile('c:\program files\sony\shared plug-ins\utilities.txt\message.ini\avp.exe','');
 DeleteFile('c:\program files\sony\shared plug-ins\utilities.txt\message.ini\avp.exe');
 DeleteFile('c:\program files\outlook express\msimn.cfg\volume.ini\calc.exe');
 DeleteFile('C:\DOCUME~1\F085~1\LOCALS~1\Temp\aujasnkj.sys');
 DeleteFile('kdzw.sys');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


Интересно....
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу