lamauser Опубликовано 27 ноября, 2007 Жалоба Поделиться Опубликовано 27 ноября, 2007 уезжал на две недели..вот вернулся..дай думаю посмотрю че натаскали, обновил базы, прошолся доктор вебом, адаваркой,авз и спайботом, пачку заразы вроде вынесло, единственное что нтос удалить не получилось, поэтому было решено применить спец девайс SDFix :) одноко и тут были удалено сопутствующие аудио и видио дллки, сам же нтос.ехе удаляться не захотел поэтому был задействован мега чит begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. вроде помогло однако при изучении последующих логов возникают ряд вопросов.... для примера F2 - REG:system.ini: UserInit=userinit.exe, :D C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял... G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок :) \SystemRoot\System32\Drivers\aaqzar0q.SYS :D SystemRoot\System32\Drivers\dtscsi.sys это вроде от даймон тулза....но его вроде нет на компе :) C:\WINDOWS\System32\Drivers\sptd.sys :) вообщем прилагаю логи, смотрите, комментируйте ;) Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 ноября, 2007 Жалоба Поделиться Опубликовано 27 ноября, 2007 (изменено) F2 - REG:system.ini: UserInit=userinit.exe, Пофикси. Но ничего страшного. C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял... Что тебя смутило? Сокращение Program Files? G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок Мультимедийные штучки... \SystemRoot\System32\Drivers\aaqzar0q.SYS Скорее всего рабочий драйвер AVZ. Остальное драйвера от виртуальных устройств. Чисто вообщем. Изменено 27 ноября, 2007 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 27 ноября, 2007 Автор Жалоба Поделиться Опубликовано 27 ноября, 2007 Пофикси. Но ничего страшного. сделаем Что тебя смутило? Сокращение Program Files? Ну да..почему часть прописано полностью C:\Program Files\DrWeb\SpiderNT.exe а тут бац и C:\PROGRA~1\DrWeb\spiderui.exe ну раз так положено, значит ладно Чисто вообщем. звезда в шоке(с) :g: Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 28 ноября, 2007 Жалоба Поделиться Опубликовано 28 ноября, 2007 \SystemRoot\System32\Drivers\aaqzar0q.SYS Это драйвер от Алкоголя Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 28 ноября, 2007 Жалоба Поделиться Опубликовано 28 ноября, 2007 \SystemRoot\System32\Drivers\aaqzar0q.SYS Это драйвер от Алкоголя Ну да! С чего ты решил? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 28 ноября, 2007 Жалоба Поделиться Опубликовано 28 ноября, 2007 Ну да! С чего ты решил?Тоже склоняюсь к тому, что aaqzar0q.SYS принадлежит AVZ.C:\PROGRA~1\DrWeb\spiderui.exeну раз так положено, значит ладно звезда в шоке(с) :blush2: Это называется короткими именами в формате DOS ("8+3" - 8 символов имя файла/каталога + 3 символа расширение после точки).Более длинные названия в DOS просто не поддерживались. Поэтому некоторые программы до сих пор записывают в реестр имена и пути в таком старом формате (часто, но далеко не всегда, это связано с ошибками в этих программах). Т.е. C:\PROGRA~1\DrWeb\ = C:\Program Files\DrWeb\ (попробуй ввести первый путь в строку проводника и убедиться). Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 28 ноября, 2007 Жалоба Поделиться Опубликовано 28 ноября, 2007 Даемон тулз и Алкоголь создают случайные файлы a???????????.sys в этой директории. Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске. А у AVZ драйвер немного другой - что-то на u????????.sys, только тут определенный драйвер, не меняющий название, просто сейчас не могу точно сказать Поправить пост не смог... в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :blush2: Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 28 ноября, 2007 Автор Жалоба Поделиться Опубликовано 28 ноября, 2007 Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске. в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :) да действительно aaqzar0q.SYS ---->amvvvpny.SYS sptd.sys меня привлек только тем что он красный в осам :) to Saule я знаком с DOS именами, просто сначала прграмма указывает обычный путь..потом сокращенный, еслиб это были разные программы яб даже и не заметил наверное ;) всем спасибо за участие, остаеться радоваться, что тревога ложная :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 8 декабря, 2007 Жалоба Поделиться Опубликовано 8 декабря, 2007 Saule: прошу проверить лог джека (ПМ послал, но мало ли не дошло оно :bye1: ) Комп после "отлова" червя (комп не мой): Virus.Win32.HLLP.Rosec («Лаборатория Касперского») также известен как: Win32.HLLP.Rosec («Лаборатория Касперского»), W32/Sality.c (McAfee), W32.HLLP.Rosec (Symantec), Win32.HLLP.Sector.16608 (Doctor Web), W32/Sality-C (Sophos), Win32/Sality.F (RAV), PE_ROSEC.A (Trend Micro), W32/HLLP.Rosec (H+BEDV), W32/Rosec (FRISK), Win32:Rosec (ALWIL), Win32/Rosec.A (Grisoft), Win32.HLLP.Rosec.C (SOFTWIN), W32/Sality.C (Panda), CRYPT.WIN32 (Eset) или как его индифицировал Doctor Web - Win32.HLLP.SectorЛог прилагается. hijackthis.log ЗЫ Может это и не червячок, я ч.слово не уточнял. hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 8 декабря, 2007 Жалоба Поделиться Опубликовано 8 декабря, 2007 Скачайте AVZ и выполните в нем скрипт (Файл - Выполнить скрипт - Скопировать этот код - Вставить - Запуск) beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\bhoSearchSpy.dll','');DeleteFile('C:\WINDOWS\system32\bhoSearchSpy.dll');BC_ImportAll;DelBHO('F5BDC469-1EC5-4193-824B-2E209993D183');ExecuteSysClean;RebootWindows(true);end. А так как у Вас уже будет AVZ, то пришлите и его лог исследования :bye1: Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 9 декабря, 2007 Жалоба Поделиться Опубликовано 9 декабря, 2007 rubin-VInfo: я писал про джека, а не про AVZ + этот лог не мой, те комп принадлежит другому человеку. Так что нужен анализ этого лога, а не AVZ. Или пост не ко мне? Ссылка на комментарий Поделиться на другие сайты Поделиться
rubin-VInfo Опубликовано 9 декабря, 2007 Жалоба Поделиться Опубликовано 9 декабря, 2007 К Вам. По результатам Вашего hijack лога я и написал скрипт, который нужно выполнит в AVZ... Либо вручную: 1. Удаляете C:\WINDOWS\system32\bhoSearchSpy.dll 2. Пуск - выполнить - regedit 3. Ищите по реестру F5BDC469-1EC5-4193-824B-2E209993D183 и удаляете найденные ключи... Но AVZ сделает все это быстрее и качественнее Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 9 декабря, 2007 Жалоба Поделиться Опубликовано 9 декабря, 2007 rubin-VInfo: спасибо, я лучше передам инструкцию, пусть человек сам разбирается Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти