lamauser Posted November 27, 2007 Report Share Posted November 27, 2007 уезжал на две недели..вот вернулся..дай думаю посмотрю че натаскали, обновил базы, прошолся доктор вебом, адаваркой,авз и спайботом, пачку заразы вроде вынесло, единственное что нтос удалить не получилось, поэтому было решено применить спец девайс SDFix :) одноко и тут были удалено сопутствующие аудио и видио дллки, сам же нтос.ехе удаляться не захотел поэтому был задействован мега чит begin SetAVZGuardStatus(True); SearchRootkit(true, true); BC_DeleteFile('C:\WINDOWS\system32\ntos.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. вроде помогло однако при изучении последующих логов возникают ряд вопросов.... для примера F2 - REG:system.ini: UserInit=userinit.exe, :D C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял... G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок :) \SystemRoot\System32\Drivers\aaqzar0q.SYS :D SystemRoot\System32\Drivers\dtscsi.sys это вроде от даймон тулза....но его вроде нет на компе :) C:\WINDOWS\System32\Drivers\sptd.sys :) вообщем прилагаю логи, смотрите, комментируйте ;) Quote Link to comment Share on other sites More sharing options...
ser208 Posted November 27, 2007 Report Share Posted November 27, 2007 (edited) F2 - REG:system.ini: UserInit=userinit.exe, Пофикси. Но ничего страшного. C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял... Что тебя смутило? Сокращение Program Files? G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок Мультимедийные штучки... \SystemRoot\System32\Drivers\aaqzar0q.SYS Скорее всего рабочий драйвер AVZ. Остальное драйвера от виртуальных устройств. Чисто вообщем. Edited November 27, 2007 by ser208 Quote Link to comment Share on other sites More sharing options...
lamauser Posted November 27, 2007 Author Report Share Posted November 27, 2007 Пофикси. Но ничего страшного. сделаем Что тебя смутило? Сокращение Program Files? Ну да..почему часть прописано полностью C:\Program Files\DrWeb\SpiderNT.exe а тут бац и C:\PROGRA~1\DrWeb\spiderui.exe ну раз так положено, значит ладно Чисто вообщем. звезда в шоке(с) :g: Quote Link to comment Share on other sites More sharing options...
rubin-VInfo Posted November 28, 2007 Report Share Posted November 28, 2007 \SystemRoot\System32\Drivers\aaqzar0q.SYS Это драйвер от Алкоголя Quote Link to comment Share on other sites More sharing options...
ser208 Posted November 28, 2007 Report Share Posted November 28, 2007 \SystemRoot\System32\Drivers\aaqzar0q.SYS Это драйвер от Алкоголя Ну да! С чего ты решил? Quote Link to comment Share on other sites More sharing options...
Saule Posted November 28, 2007 Report Share Posted November 28, 2007 Ну да! С чего ты решил?Тоже склоняюсь к тому, что aaqzar0q.SYS принадлежит AVZ.C:\PROGRA~1\DrWeb\spiderui.exeну раз так положено, значит ладно звезда в шоке(с) :blush2: Это называется короткими именами в формате DOS ("8+3" - 8 символов имя файла/каталога + 3 символа расширение после точки).Более длинные названия в DOS просто не поддерживались. Поэтому некоторые программы до сих пор записывают в реестр имена и пути в таком старом формате (часто, но далеко не всегда, это связано с ошибками в этих программах). Т.е. C:\PROGRA~1\DrWeb\ = C:\Program Files\DrWeb\ (попробуй ввести первый путь в строку проводника и убедиться). Quote Link to comment Share on other sites More sharing options...
rubin-VInfo Posted November 28, 2007 Report Share Posted November 28, 2007 Даемон тулз и Алкоголь создают случайные файлы a???????????.sys в этой директории. Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске. А у AVZ драйвер немного другой - что-то на u????????.sys, только тут определенный драйвер, не меняющий название, просто сейчас не могу точно сказать Поправить пост не смог... в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :blush2: Quote Link to comment Share on other sites More sharing options...
lamauser Posted November 28, 2007 Author Report Share Posted November 28, 2007 Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске. в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :) да действительно aaqzar0q.SYS ---->amvvvpny.SYS sptd.sys меня привлек только тем что он красный в осам :) to Saule я знаком с DOS именами, просто сначала прграмма указывает обычный путь..потом сокращенный, еслиб это были разные программы яб даже и не заметил наверное ;) всем спасибо за участие, остаеться радоваться, что тревога ложная :) Quote Link to comment Share on other sites More sharing options...
Форматцевт Posted December 8, 2007 Report Share Posted December 8, 2007 Saule: прошу проверить лог джека (ПМ послал, но мало ли не дошло оно :bye1: ) Комп после "отлова" червя (комп не мой): Virus.Win32.HLLP.Rosec («Лаборатория Касперского») также известен как: Win32.HLLP.Rosec («Лаборатория Касперского»), W32/Sality.c (McAfee), W32.HLLP.Rosec (Symantec), Win32.HLLP.Sector.16608 (Doctor Web), W32/Sality-C (Sophos), Win32/Sality.F (RAV), PE_ROSEC.A (Trend Micro), W32/HLLP.Rosec (H+BEDV), W32/Rosec (FRISK), Win32:Rosec (ALWIL), Win32/Rosec.A (Grisoft), Win32.HLLP.Rosec.C (SOFTWIN), W32/Sality.C (Panda), CRYPT.WIN32 (Eset) или как его индифицировал Doctor Web - Win32.HLLP.SectorЛог прилагается. hijackthis.log ЗЫ Может это и не червячок, я ч.слово не уточнял. hijackthis.log Quote Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 8, 2007 Report Share Posted December 8, 2007 Скачайте AVZ и выполните в нем скрипт (Файл - Выполнить скрипт - Скопировать этот код - Вставить - Запуск) beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\bhoSearchSpy.dll','');DeleteFile('C:\WINDOWS\system32\bhoSearchSpy.dll');BC_ImportAll;DelBHO('F5BDC469-1EC5-4193-824B-2E209993D183');ExecuteSysClean;RebootWindows(true);end. А так как у Вас уже будет AVZ, то пришлите и его лог исследования :bye1: Quote Link to comment Share on other sites More sharing options...
Форматцевт Posted December 9, 2007 Report Share Posted December 9, 2007 rubin-VInfo: я писал про джека, а не про AVZ + этот лог не мой, те комп принадлежит другому человеку. Так что нужен анализ этого лога, а не AVZ. Или пост не ко мне? Quote Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 9, 2007 Report Share Posted December 9, 2007 К Вам. По результатам Вашего hijack лога я и написал скрипт, который нужно выполнит в AVZ... Либо вручную: 1. Удаляете C:\WINDOWS\system32\bhoSearchSpy.dll 2. Пуск - выполнить - regedit 3. Ищите по реестру F5BDC469-1EC5-4193-824B-2E209993D183 и удаляете найденные ключи... Но AVZ сделает все это быстрее и качественнее Quote Link to comment Share on other sites More sharing options...
Форматцевт Posted December 9, 2007 Report Share Posted December 9, 2007 rubin-VInfo: спасибо, я лучше передам инструкцию, пусть человек сам разбирается Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.