Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

Доброго времени суток!Случилось у меня вот что.Включаю я ноутбук,а вместо загрузки на синем экране мне выдаётся информация содержащая адреса сайтов и т.д.,хуже всего то,что иногда проскакивали строки типо:...........$130.Когда всё прошло комп загрузился и всё...После этого я проверил и просканировал ноутбук Dr.Web,Spiware Doktor,AVZ und HiJaсk...Доктор веб нашёл из существенного 2 проги взлома я их удалил,ну и несколько инфецированных файлов(отправил в карантин),второй доктор взломы не видел(хоть им сканил первым),но зато с его помощью убил кучу вирусов..вот что выдал AVZ:Сканирование запущено в 26.12.2007 16:19:02

Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43

Загружены микропрограммы эвристики: 371

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 66967

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082680)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559680

KiST = 804E26A8 (284)

Функция NtConnectPort (1F) перехвачена (8058A800->82DE2E60), перехватчик не определен

Функция NtOpenProcess (7A) перехвачена (80572D06->82D9F008), перехватчик не определен

Функция NtOpenThread (80) перехвачена (8058C806->82D7AF68), перехватчик не определен

Проверено функций: 284, перехвачено: 3, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F460316D] E:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F4602FC2] E:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 39

Количество загруженных модулей: 376

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение E:\Documents and Settings\n\Local Settings\Temp\~DFAD2A.tmp

Прямое чтение E:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешены терминальные подключения к данному ПК

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

9. Мастер поиска и устранения проблем

Проверка завершена

Просканировано файлов: 97119, извлечено из архивов: 76493, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 26.12.2007 16:30:24

Сканирование длилось 00:11:24

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

лог от HiJack прилагаю ниже,но всё это после сноса мусора другими "Докторами"...Можно ли считать,что от вирусов удалось избавиться,и что случилось перед загрузкой,а также что за сумма в 130$ которая повторялась в нескольких строках,то есть не пришлют ли мне АЦкий счёт за что-то,сразу скажу нигде не регистрировался и ничего не покупал,а также ничего не скачивал...Спасибо за ответ...

hijackthis.log

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

sniff:

Выполните сканирование вашего компьютера, как указано здесь

Пофиксите

O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)

найдите файл E:\WINDOWS\System32\00THotkey.exe и проверьте его на virustotal.com

Скачайте Новую версию HijackThis

Если сохранился лог AVZ сканирования и лог исследования системы (в папке AVZ\LOG), заархивируйте и выложите здесь.

Если логи не сохранились, выполните следующее:

Закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты

Пофиксите

Цитата

O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)

не совсем понял..тоесть удалить её...
найдите файл E:\WINDOWS\System32\00THotkey.exe и проверьте его на virustotal.com
проверил,результат 0/32...вроде ничего не найденно...с остальным всё хуже в компах,я увы профан...и сомневаюсь,что всё сделаю правильно...а что вообще всё это было?...сейчас вроде всё работает нормально...и не пришлют ли мне счета на энскую сумму...
Ссылка на комментарий
Поделиться на другие сайты

sniff:

Пофиксить это запустить файл hijackthis, нажать кнопочку "Do a system scan only", в открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked"

Где логи?

Ссылка на комментарий
Поделиться на другие сайты

Пофиксить это запустить файл hijackthis, нажать кнопочку "Do a system scan only", в открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked"
cделал....с логами трудности...при обнавление баз AVZ,пишет что ошибка в загрузке одного файла и не обновляет...
Ссылка на комментарий
Поделиться на другие сайты

sniff: там можно выбрать сервер обновлений из списка, если не получится, давайте логи без обновления баз

Ссылка на комментарий
Поделиться на другие сайты

д.б virusinfo_syscure.zip (после скрипта №3 "Скрипт лечения/карантина и сбора информации..."), а не virusinfo_cure.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('E:\Program Files\Multi Password Recovery\MPR.v0.2.x.beta.patch.exe','');

BC_QrFile('Simbad.sys','');

BC_QrFile('E:\Program Files\Multi Password Recovery\mpr_freader.sys','');

BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS','');

BC_QrFile('Eveacd.sys','');

BC_ImportAll;

BC_Activate;

RebootWindows(true);

end.

полученный карантин с паролем virus выложите на ifloder.ru или другой файлообменник.

рекомендую деинсталлировать Multi Password Recovery

Spyware Doctor +Symantec+PC Tools не конфликтуют?

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт
Я так понимаю,это снова надо делать в AVZ?Объясните "тупому" если можно по-шагово как это сделать...
полученный карантин с паролем virus выложите на ifloder.ru или другой файлообменник.
результат первого действия(то есть папку с вирусом) нужно положить на этот сайт,и забыть про неё?
рекомендую деинсталлировать Multi Password Recovery
а можно её тоже в карантин вставить,не помню для чего она,эта программа
Spyware Doctor +Symantec+PC Tools не конфликтуют?
да вроде нет...Spyware Doctor

,использую только в качестве сканера,и немедленного уничтожения всякой гадости(теперь делаю это посдле каждого захода в сеть).Symantec-это Нортон антивирус,так понимаю...он раньше стоял(у первого пользователя)пока не накрылся(теперь пароль требует,а я его незнаю),так что он вне игры...PC Tools,это я незнаю что...

Ссылка на комментарий
Поделиться на другие сайты

В AVZ файл выполнить скрипт, в окно методом copy/paste вставить скрипт

Файл с карантином увидите в папке AVZ\Quarantine

Multi Password Recovery деинсталировать стандартно, тут о нем.

пароль стандартный(если корпоративный) - symantec

PC Tools

Кстати при выполнении логов Антивирусы не отключали? Надо выключать.

Ссылка на комментарий
Поделиться на другие сайты

В AVZ файл выполнить скрипт, в окно методом copy/paste вставить скрипт

То есть,вот это-begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('E:\Program Files\Multi Password Recovery\MPR.v0.2.x.beta.patch.exe','');

BC_QrFile('Simbad.sys','');

BC_QrFile('E:\Program Files\Multi Password Recovery\mpr_freader.sys','');

BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS','');

BC_QrFile('Eveacd.sys','');

BC_ImportAll;

BC_Activate;

RebootWindows(true);

end.

просто перенести туда,а дальше что нажать загрузить,сохранить или запустить?

Ссылка на комментарий
Поделиться на другие сайты

Вставьте вот этот код в AVZ - Файл - Выполните - Запуск

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('E:\WINDOWS\System32\Drivers\Eveacd.sys','');QuarantineFile('E:\_NS2500\Crack\SENTEMU.SYS','');BC_ImportQuarantineList;BC_QrFile('E:\WINDOWS\System32\Drivers\Eveacd.sys');BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS');BC_Activate;RebootWindows(true);end.

Затем

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip из папки AVZ положить на slil.ru или прочий файлообменник и ссылку сюда...

Pili:

BC по имени файла не работает, Simbad - легитимный файл :D

Ссылка на комментарий
Поделиться на другие сайты

BC по имени файла не работает - такая фича, как автоматический поиск файла не предусмотрен (нельзя реализовать)? :D

Ссылка на комментарий
Поделиться на другие сайты

и ещё как избавиться от лишних языков в клавиатуре?....

рекомендую деинсталлировать Multi Password Recovery
а оно вообще сильно надо?
Ссылка на комментарий
Поделиться на другие сайты

Скопировать скрипт, выделив мышкой и нажать ctrl+C? вставить (ctrl+V) в окно выполнения скрипта в AVZ

Если не пользуетесь Multi Password Recovery, то лучше удалить.

Ссылка на комментарий
Поделиться на другие сайты

BC по имени файла не работает - такая фича, как автоматический поиск файла не предусмотрен (нельзя реализовать)? :)

QuarantineFile еще поиск ведет, DeleteFile и BC уже нет... Вроде не собираются вводить :)

Ссылка на комментарий
Поделиться на другие сайты

QuarantineFile еще поиск ведет, DeleteFile и BC уже нет... Вроде не собираются вводить :)

Ну с DeleteFile понятно почему нельзя вводить, с ВС можно было бы (иногда только по имени файла в логах видно, приходится только интуитивно по вероятному расположению файла искать), но технически реализовать наверное трудно (это значит пытаться запустить поиск до старта основных сервисов и зловредов)... а было бы не плохо )

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...