sniff Posted December 26, 2007 Report Share Posted December 26, 2007 Доброго времени суток!Случилось у меня вот что.Включаю я ноутбук,а вместо загрузки на синем экране мне выдаётся информация содержащая адреса сайтов и т.д.,хуже всего то,что иногда проскакивали строки типо:...........$130.Когда всё прошло комп загрузился и всё...После этого я проверил и просканировал ноутбук Dr.Web,Spiware Doktor,AVZ und HiJaсk...Доктор веб нашёл из существенного 2 проги взлома я их удалил,ну и несколько инфецированных файлов(отправил в карантин),второй доктор взломы не видел(хоть им сканил первым),но зато с его помощью убил кучу вирусов..вот что выдал AVZ:Сканирование запущено в 26.12.2007 16:19:02 Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43 Загружены микропрограммы эвристики: 371 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 66967 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082680) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559680 KiST = 804E26A8 (284) Функция NtConnectPort (1F) перехвачена (8058A800->82DE2E60), перехватчик не определен Функция NtOpenProcess (7A) перехвачена (80572D06->82D9F008), перехватчик не определен Функция NtOpenThread (80) перехвачена (8058C806->82D7AF68), перехватчик не определен Проверено функций: 284, перехвачено: 3, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F460316D] E:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F4602FC2] E:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 39 Количество загруженных модулей: 376 Проверка памяти завершена 3. Сканирование дисков Прямое чтение E:\Documents and Settings\n\Local Settings\Temp\~DFAD2A.tmp Прямое чтение E:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 97119, извлечено из архивов: 76493, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 26.12.2007 16:30:24 Сканирование длилось 00:11:24 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info лог от HiJack прилагаю ниже,но всё это после сноса мусора другими "Докторами"...Можно ли считать,что от вирусов удалось избавиться,и что случилось перед загрузкой,а также что за сумма в 130$ которая повторялась в нескольких строках,то есть не пришлют ли мне АЦкий счёт за что-то,сразу скажу нигде не регистрировался и ничего не покупал,а также ничего не скачивал...Спасибо за ответ... hijackthis.log hijackthis.log Quote Link to comment Share on other sites More sharing options...
Pili Posted December 26, 2007 Report Share Posted December 26, 2007 sniff: Выполните сканирование вашего компьютера, как указано здесь Пофиксите O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing) найдите файл E:\WINDOWS\System32\00THotkey.exe и проверьте его на virustotal.com Скачайте Новую версию HijackThis Если сохранился лог AVZ сканирования и лог исследования системы (в папке AVZ\LOG), заархивируйте и выложите здесь. Если логи не сохранились, выполните следующее: Закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог. Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Quote Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 26, 2007 Report Share Posted December 26, 2007 Лог AVZ нужен в формате html Quote Link to comment Share on other sites More sharing options...
sniff Posted December 27, 2007 Author Report Share Posted December 27, 2007 Пофиксите Цитата O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing) не совсем понял..тоесть удалить её...найдите файл E:\WINDOWS\System32\00THotkey.exe и проверьте его на virustotal.comпроверил,результат 0/32...вроде ничего не найденно...с остальным всё хуже в компах,я увы профан...и сомневаюсь,что всё сделаю правильно...а что вообще всё это было?...сейчас вроде всё работает нормально...и не пришлют ли мне счета на энскую сумму... Quote Link to comment Share on other sites More sharing options...
Pili Posted December 27, 2007 Report Share Posted December 27, 2007 sniff: Пофиксить это запустить файл hijackthis, нажать кнопочку "Do a system scan only", в открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked" Где логи? Quote Link to comment Share on other sites More sharing options...
sniff Posted December 27, 2007 Author Report Share Posted December 27, 2007 Пофиксить это запустить файл hijackthis, нажать кнопочку "Do a system scan only", в открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked"cделал....с логами трудности...при обнавление баз AVZ,пишет что ошибка в загрузке одного файла и не обновляет... Quote Link to comment Share on other sites More sharing options...
Pili Posted December 27, 2007 Report Share Posted December 27, 2007 sniff: там можно выбрать сервер обновлений из списка, если не получится, давайте логи без обновления баз Quote Link to comment Share on other sites More sharing options...
sniff Posted December 27, 2007 Author Report Share Posted December 27, 2007 Вот что получилось...жду приговор virusinfo_cure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_cure.zip virusinfo_syscheck.zip hijackthis.log Quote Link to comment Share on other sites More sharing options...
Pili Posted December 27, 2007 Report Share Posted December 27, 2007 д.б virusinfo_syscure.zip (после скрипта №3 "Скрипт лечения/карантина и сбора информации..."), а не virusinfo_cure.zip Quote Link to comment Share on other sites More sharing options...
sniff Posted December 27, 2007 Author Report Share Posted December 27, 2007 перепутал...вот... virusinfo_syscure.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
Pili Posted December 27, 2007 Report Share Posted December 27, 2007 Выполните скрипт beginSetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('E:\Program Files\Multi Password Recovery\MPR.v0.2.x.beta.patch.exe',''); BC_QrFile('Simbad.sys',''); BC_QrFile('E:\Program Files\Multi Password Recovery\mpr_freader.sys',''); BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS',''); BC_QrFile('Eveacd.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end. полученный карантин с паролем virus выложите на ifloder.ru или другой файлообменник. рекомендую деинсталлировать Multi Password Recovery Spyware Doctor +Symantec+PC Tools не конфликтуют? Quote Link to comment Share on other sites More sharing options...
sniff Posted December 28, 2007 Author Report Share Posted December 28, 2007 Выполните скриптЯ так понимаю,это снова надо делать в AVZ?Объясните "тупому" если можно по-шагово как это сделать...полученный карантин с паролем virus выложите на ifloder.ru или другой файлообменник.результат первого действия(то есть папку с вирусом) нужно положить на этот сайт,и забыть про неё?рекомендую деинсталлировать Multi Password Recoveryа можно её тоже в карантин вставить,не помню для чего она,эта программаSpyware Doctor +Symantec+PC Tools не конфликтуют?да вроде нет...Spyware Doctor ,использую только в качестве сканера,и немедленного уничтожения всякой гадости(теперь делаю это посдле каждого захода в сеть).Symantec-это Нортон антивирус,так понимаю...он раньше стоял(у первого пользователя)пока не накрылся(теперь пароль требует,а я его незнаю),так что он вне игры...PC Tools,это я незнаю что... Quote Link to comment Share on other sites More sharing options...
Pili Posted December 28, 2007 Report Share Posted December 28, 2007 В AVZ файл выполнить скрипт, в окно методом copy/paste вставить скрипт Файл с карантином увидите в папке AVZ\Quarantine Multi Password Recovery деинсталировать стандартно, тут о нем. пароль стандартный(если корпоративный) - symantec PC Tools Кстати при выполнении логов Антивирусы не отключали? Надо выключать. Quote Link to comment Share on other sites More sharing options...
sniff Posted December 28, 2007 Author Report Share Posted December 28, 2007 В AVZ файл выполнить скрипт, в окно методом copy/paste вставить скрипт То есть,вот это-begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('E:\Program Files\Multi Password Recovery\MPR.v0.2.x.beta.patch.exe',''); BC_QrFile('Simbad.sys',''); BC_QrFile('E:\Program Files\Multi Password Recovery\mpr_freader.sys',''); BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS',''); BC_QrFile('Eveacd.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end. просто перенести туда,а дальше что нажать загрузить,сохранить или запустить? Quote Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 28, 2007 Report Share Posted December 28, 2007 Вставьте вот этот код в AVZ - Файл - Выполните - Запуск beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('E:\WINDOWS\System32\Drivers\Eveacd.sys','');QuarantineFile('E:\_NS2500\Crack\SENTEMU.SYS','');BC_ImportQuarantineList;BC_QrFile('E:\WINDOWS\System32\Drivers\Eveacd.sys');BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS');BC_Activate;RebootWindows(true);end. Затем beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Архив quarantine.zip из папки AVZ положить на slil.ru или прочий файлообменник и ссылку сюда... Pili: BC по имени файла не работает, Simbad - легитимный файл :D Quote Link to comment Share on other sites More sharing options...
Pili Posted December 28, 2007 Report Share Posted December 28, 2007 запустить, компьютер перезагрузится Quote Link to comment Share on other sites More sharing options...
Pili Posted December 28, 2007 Report Share Posted December 28, 2007 BC по имени файла не работает - такая фича, как автоматический поиск файла не предусмотрен (нельзя реализовать)? :D Quote Link to comment Share on other sites More sharing options...
sniff Posted December 28, 2007 Author Report Share Posted December 28, 2007 окно методом copy/paste вставить скрипт только не смейтесь-это как? Quote Link to comment Share on other sites More sharing options...
sniff Posted December 28, 2007 Author Report Share Posted December 28, 2007 а в ручную вбить-это можно? Quote Link to comment Share on other sites More sharing options...
sniff Posted December 28, 2007 Author Report Share Posted December 28, 2007 и ещё как избавиться от лишних языков в клавиатуре?.... рекомендую деинсталлировать Multi Password Recoveryа оно вообще сильно надо? Quote Link to comment Share on other sites More sharing options...
Pili Posted December 28, 2007 Report Share Posted December 28, 2007 Скопировать скрипт, выделив мышкой и нажать ctrl+C? вставить (ctrl+V) в окно выполнения скрипта в AVZ Если не пользуетесь Multi Password Recovery, то лучше удалить. Quote Link to comment Share on other sites More sharing options...
sniff Posted December 28, 2007 Author Report Share Posted December 28, 2007 cкопировал нажал ЗАПУСТИТЬ-она пишет:Ошибка Too many actual parameters в позиции 5:10 Quote Link to comment Share on other sites More sharing options...
Pili Posted December 28, 2007 Report Share Posted December 28, 2007 sniff: выполни скрипт из 15 поста этой темы sniff: выполни скрипт rubin-VInfo Quote Link to comment Share on other sites More sharing options...
rubin-VInfo Posted December 28, 2007 Report Share Posted December 28, 2007 BC по имени файла не работает - такая фича, как автоматический поиск файла не предусмотрен (нельзя реализовать)? :) QuarantineFile еще поиск ведет, DeleteFile и BC уже нет... Вроде не собираются вводить :) Quote Link to comment Share on other sites More sharing options...
Pili Posted December 28, 2007 Report Share Posted December 28, 2007 QuarantineFile еще поиск ведет, DeleteFile и BC уже нет... Вроде не собираются вводить :) Ну с DeleteFile понятно почему нельзя вводить, с ВС можно было бы (иногда только по имени файла в логах видно, приходится только интуитивно по вероятному расположению файла искать), но технически реализовать наверное трудно (это значит пытаться запустить поиск до старта основных сервисов и зловредов)... а было бы не плохо ) Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.