Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

уезжал на две недели..вот вернулся..дай думаю посмотрю че натаскали, обновил базы, прошолся доктор вебом, адаваркой,авз и спайботом, пачку заразы вроде вынесло, единственное что нтос удалить не получилось, поэтому было решено применить спец девайс SDFix :)

одноко и тут были удалено сопутствующие аудио и видио дллки, сам же нтос.ехе удаляться не захотел

поэтому был задействован мега чит

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

вроде помогло

однако при изучении последующих логов возникают ряд вопросов....

для примера

F2 - REG:system.ini: UserInit=userinit.exe, :D

C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял...

G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска

C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок :)

\SystemRoot\System32\Drivers\aaqzar0q.SYS :D

SystemRoot\System32\Drivers\dtscsi.sys это вроде от даймон тулза....но его вроде нет на компе :)

C:\WINDOWS\System32\Drivers\sptd.sys :)

вообщем прилагаю логи, смотрите, комментируйте ;)

Ссылка на комментарий
Поделиться на другие сайты

F2 - REG:system.ini: UserInit=userinit.exe,

Пофикси. Но ничего страшного.

C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял...

Что тебя смутило? Сокращение Program Files?

G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска

C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок

Мультимедийные штучки...

\SystemRoot\System32\Drivers\aaqzar0q.SYS

Скорее всего рабочий драйвер AVZ.

Остальное драйвера от виртуальных устройств.

Чисто вообщем.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

Пофикси. Но ничего страшного.

сделаем

Что тебя смутило? Сокращение Program Files?

Ну да..почему часть прописано полностью

C:\Program Files\DrWeb\SpiderNT.exe

а тут бац и

C:\PROGRA~1\DrWeb\spiderui.exe

ну раз так положено, значит ладно

Чисто вообщем.

звезда в шоке(с) :g:

Ссылка на комментарий
Поделиться на другие сайты

Ну да! С чего ты решил?
Тоже склоняюсь к тому, что aaqzar0q.SYS принадлежит AVZ.
C:\PROGRA~1\DrWeb\spiderui.exe

ну раз так положено, значит ладно

звезда в шоке(с) :blush2:

Это называется короткими именами в формате DOS ("8+3" - 8 символов имя файла/каталога + 3 символа расширение после точки).

Более длинные названия в DOS просто не поддерживались. Поэтому некоторые программы до сих пор записывают в реестр имена и пути в таком старом формате (часто, но далеко не всегда, это связано с ошибками в этих программах).

Т.е. C:\PROGRA~1\DrWeb\ = C:\Program Files\DrWeb\ (попробуй ввести первый путь в строку проводника и убедиться).

Ссылка на комментарий
Поделиться на другие сайты

Даемон тулз и Алкоголь создают случайные файлы a???????????.sys в этой директории. Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске.

А у AVZ драйвер немного другой - что-то на u????????.sys, только тут определенный драйвер, не меняющий название, просто сейчас не могу точно сказать

Поправить пост не смог... в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :blush2:

Ссылка на комментарий
Поделиться на другие сайты

Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске.

в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :)

да действительно

aaqzar0q.SYS ---->amvvvpny.SYS

sptd.sys меня привлек только тем что он красный в осам :)

to Saule

я знаком с DOS именами, просто сначала прграмма указывает обычный путь..потом сокращенный, еслиб это были разные программы яб даже и не заметил наверное ;)

всем спасибо за участие, остаеться радоваться, что тревога ложная :)

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Saule: прошу проверить лог джека (ПМ послал, но мало ли не дошло оно :bye1: )

Комп после "отлова" червя (комп не мой):

Virus.Win32.HLLP.Rosec («Лаборатория Касперского») также известен как: Win32.HLLP.Rosec («Лаборатория Касперского»), W32/Sality.c (McAfee), W32.HLLP.Rosec (Symantec), Win32.HLLP.Sector.16608 (Doctor Web), W32/Sality-C (Sophos), Win32/Sality.F (RAV), PE_ROSEC.A (Trend Micro), W32/HLLP.Rosec (H+BEDV), W32/Rosec (FRISK), Win32:Rosec (ALWIL), Win32/Rosec.A (Grisoft), Win32.HLLP.Rosec.C (SOFTWIN), W32/Sality.C (Panda), CRYPT.WIN32 (Eset)
или как его индифицировал Doctor Web - Win32.HLLP.Sector

Лог прилагается. hijackthis.log

ЗЫ Может это и не червячок, я ч.слово не уточнял.

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Скачайте AVZ и выполните в нем скрипт (Файл - Выполнить скрипт - Скопировать этот код - Вставить - Запуск)

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\bhoSearchSpy.dll','');DeleteFile('C:\WINDOWS\system32\bhoSearchSpy.dll');BC_ImportAll;DelBHO('F5BDC469-1EC5-4193-824B-2E209993D183');ExecuteSysClean;RebootWindows(true);end.

А так как у Вас уже будет AVZ, то пришлите и его лог исследования :bye1:

Ссылка на комментарий
Поделиться на другие сайты

rubin-VInfo: я писал про джека, а не про AVZ + этот лог не мой, те комп принадлежит другому человеку. Так что нужен анализ этого лога, а не AVZ. Или пост не ко мне?

Ссылка на комментарий
Поделиться на другие сайты

К Вам. По результатам Вашего hijack лога я и написал скрипт, который нужно выполнит в AVZ...

Либо вручную:

1. Удаляете C:\WINDOWS\system32\bhoSearchSpy.dll

2. Пуск - выполнить - regedit

3. Ищите по реестру F5BDC469-1EC5-4193-824B-2E209993D183 и удаляете найденные ключи...

Но AVZ сделает все это быстрее и качественнее

Ссылка на комментарий
Поделиться на другие сайты

rubin-VInfo: спасибо, я лучше передам инструкцию, пусть человек сам разбирается :(

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...