kkkk4444 Posted June 16, 2008 Report Share Posted June 16, 2008 Я попал на трафик помогите залечить сам пытался что то сделать но ничего не получилось, при включении компа нод32 показывает постоянно вирусы tcpsr.sys и wigon.by а AVZ показывает вирус zamoxivel.sys hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
akoK Posted June 16, 2008 Report Share Posted June 16, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('Yoo11', 4);SetServiceStart('Winpk66', 4);SetServiceStart('Afp58', 4);QuarantineFile('C:\WINDOWS\system32\oobe\MSOOBE.EXE','');QuarantineFile('C:\PROGRA~1\Crawler\ctbr.dll','');QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');QuarantineFile('C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys','');QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');DeleteFile('C:\WINDOWS\system32\WinNt64.dll');DeleteFile('C:\WINDOWS\System32\Drivers\Afp58.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winpk66.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Yoo11.sys');DeleteFile('WinNt64.dll');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');DeleteService('Yoo11');DeleteService('Winpk66');DeleteService('Afp58');DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt64.dllO20 - Winlogon Notify: WinNt64 - C:\WINDOWS\SYSTEM32\WinNt64.dll Повторите логи...посмотрим, что осталось. Link to comment Share on other sites More sharing options...
kkkk4444 Posted June 16, 2008 Author Report Share Posted June 16, 2008 Вроде все сделал вот логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
Pili Posted June 17, 2008 Report Share Posted June 17, 2008 kkkk4444: отключите восстановление системы! Очистите временные файлы, напр. с помощью утилиты ATF Cleaner Выполните в AVZ скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);SetServiceStart('tcpsr', 4);SetServiceStart('Qbq63', 4);QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Qbq63.sys','');DeleteFile('C:\WINDOWS\System32\Drivers\Qbq63.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteService('tcpsr');DeleteService('Qbq63');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');end. Файл quarantine2.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку). Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". Повторите логи virusinfo_syscheck.zip и hijackthis Link to comment Share on other sites More sharing options...
kkkk4444 Posted June 17, 2008 Author Report Share Posted June 17, 2008 Все сделал вот новые логи. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
ТроПа Posted June 18, 2008 Report Share Posted June 18, 2008 Проблемы какие-то наблюдаются? В логах врагов не видать. Link to comment Share on other sites More sharing options...
akoK Posted June 18, 2008 Report Share Posted June 18, 2008 C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL - Adware.Mycentria.3 C:\PROGRA~1\MYCENT~1\InfoBar\MyCentriaInfoBar.dll - Adware.Mycentria.3 C:\WINDOWS\system32\WinNt64.dll - Trojan.DownLoader.63655 Link to comment Share on other sites More sharing options...
kkkk4444 Posted June 18, 2008 Author Report Share Posted June 18, 2008 Вчера нод32 нашел еще парочку хотя было все гуд. c:\WINDOWS\TEMP\avz_1812_raw.tmp c:\WINDOWS\system32\winNT32.dll Link to comment Share on other sites More sharing options...
akoK Posted June 19, 2008 Report Share Posted June 19, 2008 Наша песня хороша.....начинаем собирать логи с начала. Link to comment Share on other sites More sharing options...
kkkk4444 Posted June 20, 2008 Author Report Share Posted June 20, 2008 Начинаем сначала ;) вот новые логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Link to comment Share on other sites More sharing options...
ТроПа Posted June 20, 2008 Report Share Posted June 20, 2008 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\WINDOWS\System32\Drivers\Ddd85.sys','');DeleteFile('C:\WINDOWS\System32\Drivers\Ddd85.sys');BC_ImportDeletedList;BC_DeleteSvc('Ddd85');ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему в форуме. Повторите логи. Link to comment Share on other sites More sharing options...
ТроПа Posted June 21, 2008 Report Share Posted June 21, 2008 Карантин получил - он пустой, теперь ждём новый комплект логов. Link to comment Share on other sites More sharing options...
kkkk4444 Posted June 22, 2008 Author Report Share Posted June 22, 2008 Вот новые логи :-) virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Link to comment Share on other sites More sharing options...
ТроПа Posted June 23, 2008 Report Share Posted June 23, 2008 Проблемы наблюдаются? Врагов в логах не видно. Link to comment Share on other sites More sharing options...
kkkk4444 Posted June 24, 2008 Author Report Share Posted June 24, 2008 Пока тишина огромное спасибо :D Link to comment Share on other sites More sharing options...
Recommended Posts