Jump to content
СофтФорум - всё о компьютерах и не только

прошу изучить логи


Recommended Posts

уезжал на две недели..вот вернулся..дай думаю посмотрю че натаскали, обновил базы, прошолся доктор вебом, адаваркой,авз и спайботом, пачку заразы вроде вынесло, единственное что нтос удалить не получилось, поэтому было решено применить спец девайс SDFix :)

одноко и тут были удалено сопутствующие аудио и видио дллки, сам же нтос.ехе удаляться не захотел

поэтому был задействован мега чит

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

вроде помогло

однако при изучении последующих логов возникают ряд вопросов....

для примера

F2 - REG:system.ini: UserInit=userinit.exe, :D

C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял...

G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска

C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок :)

\SystemRoot\System32\Drivers\aaqzar0q.SYS :D

SystemRoot\System32\Drivers\dtscsi.sys это вроде от даймон тулза....но его вроде нет на компе :)

C:\WINDOWS\System32\Drivers\sptd.sys :)

вообщем прилагаю логи, смотрите, комментируйте ;)

Link to comment
Share on other sites

F2 - REG:system.ini: UserInit=userinit.exe,

Пофикси. Но ничего страшного.

C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял...

Что тебя смутило? Сокращение Program Files?

G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска

C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок

Мультимедийные штучки...

\SystemRoot\System32\Drivers\aaqzar0q.SYS

Скорее всего рабочий драйвер AVZ.

Остальное драйвера от виртуальных устройств.

Чисто вообщем.

Edited by ser208
Link to comment
Share on other sites

Пофикси. Но ничего страшного.

сделаем

Что тебя смутило? Сокращение Program Files?

Ну да..почему часть прописано полностью

C:\Program Files\DrWeb\SpiderNT.exe

а тут бац и

C:\PROGRA~1\DrWeb\spiderui.exe

ну раз так положено, значит ладно

Чисто вообщем.

звезда в шоке(с) :g:

Link to comment
Share on other sites

Ну да! С чего ты решил?
Тоже склоняюсь к тому, что aaqzar0q.SYS принадлежит AVZ.
C:\PROGRA~1\DrWeb\spiderui.exe

ну раз так положено, значит ладно

звезда в шоке(с) :blush2:

Это называется короткими именами в формате DOS ("8+3" - 8 символов имя файла/каталога + 3 символа расширение после точки).

Более длинные названия в DOS просто не поддерживались. Поэтому некоторые программы до сих пор записывают в реестр имена и пути в таком старом формате (часто, но далеко не всегда, это связано с ошибками в этих программах).

Т.е. C:\PROGRA~1\DrWeb\ = C:\Program Files\DrWeb\ (попробуй ввести первый путь в строку проводника и убедиться).

Link to comment
Share on other sites

Даемон тулз и Алкоголь создают случайные файлы a???????????.sys в этой директории. Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске.

А у AVZ драйвер немного другой - что-то на u????????.sys, только тут определенный драйвер, не меняющий название, просто сейчас не могу точно сказать

Поправить пост не смог... в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :blush2:

Link to comment
Share on other sites

Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске.

в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :)

да действительно

aaqzar0q.SYS ---->amvvvpny.SYS

sptd.sys меня привлек только тем что он красный в осам :)

to Saule

я знаком с DOS именами, просто сначала прграмма указывает обычный путь..потом сокращенный, еслиб это были разные программы яб даже и не заметил наверное ;)

всем спасибо за участие, остаеться радоваться, что тревога ложная :)

Link to comment
Share on other sites

  • 2 weeks later...

Saule: прошу проверить лог джека (ПМ послал, но мало ли не дошло оно :bye1: )

Комп после "отлова" червя (комп не мой):

Virus.Win32.HLLP.Rosec («Лаборатория Касперского») также известен как: Win32.HLLP.Rosec («Лаборатория Касперского»), W32/Sality.c (McAfee), W32.HLLP.Rosec (Symantec), Win32.HLLP.Sector.16608 (Doctor Web), W32/Sality-C (Sophos), Win32/Sality.F (RAV), PE_ROSEC.A (Trend Micro), W32/HLLP.Rosec (H+BEDV), W32/Rosec (FRISK), Win32:Rosec (ALWIL), Win32/Rosec.A (Grisoft), Win32.HLLP.Rosec.C (SOFTWIN), W32/Sality.C (Panda), CRYPT.WIN32 (Eset)
или как его индифицировал Doctor Web - Win32.HLLP.Sector

Лог прилагается. hijackthis.log

ЗЫ Может это и не червячок, я ч.слово не уточнял.

hijackthis.log

Link to comment
Share on other sites

Скачайте AVZ и выполните в нем скрипт (Файл - Выполнить скрипт - Скопировать этот код - Вставить - Запуск)

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\bhoSearchSpy.dll','');DeleteFile('C:\WINDOWS\system32\bhoSearchSpy.dll');BC_ImportAll;DelBHO('F5BDC469-1EC5-4193-824B-2E209993D183');ExecuteSysClean;RebootWindows(true);end.

А так как у Вас уже будет AVZ, то пришлите и его лог исследования :bye1:

Link to comment
Share on other sites

rubin-VInfo: я писал про джека, а не про AVZ + этот лог не мой, те комп принадлежит другому человеку. Так что нужен анализ этого лога, а не AVZ. Или пост не ко мне?

Link to comment
Share on other sites

К Вам. По результатам Вашего hijack лога я и написал скрипт, который нужно выполнит в AVZ...

Либо вручную:

1. Удаляете C:\WINDOWS\system32\bhoSearchSpy.dll

2. Пуск - выполнить - regedit

3. Ищите по реестру F5BDC469-1EC5-4193-824B-2E209993D183 и удаляете найденные ключи...

Но AVZ сделает все это быстрее и качественнее

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...