gserg Опубликовано 25 марта, 2009 Жалоба Поделиться Опубликовано 25 марта, 2009 День добрый. Попросили помочь с установкой на рабочий комп антивирусника Norton internet security 2009. Установка висла, комп тормозил. Cure it нашёл maosboot в загрузочном секторе + в файлах восстановления системы bulknet.238. Нужна помощь. Прикрепляю логи virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 25 марта, 2009 Жалоба Поделиться Опубликовано 25 марта, 2009 (изменено) День добрый. Попросили помочь с установкой на рабочий комп антивирусника Norton internet security 2009. Установка висла, комп тормозил. Cure it нашёл maosboot в загрузочном секторе + в файлах восстановления системы bulknet.238. Нужна помощь. Прикрепляю логиОтключите защитное ПО (антивирус, файрволл). Включите брандмауэр WindowsВыполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\System32\Drivers\Winye50.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc04.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr15.sys','');DeleteService('uploadmgrALG');DeleteService('SSDPSRVTapiSrv');DeleteService('RDSessMgrmnmsrvc');DeleteService('LmHostsdmserver');DeleteService('AudioSrvVSS');DeleteService('Winye50');DeleteService('Winxc04');DeleteService('Winnr15');QuarantineFile('beta.exe','');QuarantineFile('WinCtrl32.dll','');DeleteFile('WinCtrl32.dll');DeleteFile('beta.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Winnr15.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winxc04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winye50.sys');BC_ImportDeletedList;BC_DeleteSvc('AudioSrvVSS');BC_DeleteSvc('LmHostsdmserver');BC_DeleteSvc('RDSessMgrmnmsrvc');BC_DeleteSvc('SSDPSRVTapiSrv');BC_DeleteSvc('uploadmgrALG');ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by 2. Пофиксить в HiJack O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] beta.exeO20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)O23 - Service: Windows Audio AudioSrvVSS (AudioSrvVSS) - Unknown owner - .exe (file missing)O23 - Service: TCP/IP NetBIOS Helper LmHostsdmserver (LmHostsdmserver) - Unknown owner - .exe (file missing)O23 - Service: Remote Desktop Help Session Manager RDSessMgrmnmsrvc (RDSessMgrmnmsrvc) - Unknown owner - .exe (file missing)O23 - Service: SSDP Discovery Service SSDPSRVTapiSrv (SSDPSRVTapiSrv) - Unknown owner - .exe (file missing)O23 - Service: Upload Manager uploadmgrALG (uploadmgrALG) - Unknown owner - .exe (file missing) Добавка к предыдущему. Повторите логи i Уведомление: Исправил скрипт. Изменено 26 марта, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
gserg Опубликовано 25 марта, 2009 Автор Жалоба Поделиться Опубликовано 25 марта, 2009 Izvenjajus za latinicu. Ja vam na ukazanyj e-mail otpravil ne tot arhiv, ego mozno ualit, izvenjajus. Kak sdelaju lechenie prishlju povtornye logi i karantin. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 25 марта, 2009 Жалоба Поделиться Опубликовано 25 марта, 2009 Логи вылаживайте на форуме. Ссылка на комментарий Поделиться на другие сайты Поделиться
Old men Опубликовано 25 марта, 2009 Жалоба Поделиться Опубликовано 25 марта, 2009 gserg: Скачайте здесь программку T-Code, и вы сможете писать посты по русски, через копипаст. Ссылка на комментарий Поделиться на другие сайты Поделиться
gserg Опубликовано 26 марта, 2009 Автор Жалоба Поделиться Опубликовано 26 марта, 2009 thyrex при выполнении скрипта получил ошибку :smiles20(7): , сам ничего править не стал. Script error: ')' expected, position [4:16] wise-wistful понял выложу, я про карантин имел ввиду, что вышлю на мыло. Old men спасибо за ссылку, я не мог тогда с уомпьтера с кирилицей писать, теперь снова могу. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 марта, 2009 Жалоба Поделиться Опубликовано 26 марта, 2009 (изменено) Поправил скрипт. Должен работать. Изменено 26 марта, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
gserg Опубликовано 26 марта, 2009 Автор Жалоба Поделиться Опубликовано 26 марта, 2009 Поправил скрипт. Должен работать. Да всё работает, компьютер только после него долго перезагружался, но ничего справился. Сейчас доделаю лечение и выложу результаты Посмотрите пожалуйста логи RSIT потому как следующие строчки отсутствуют. Пофиксить в HiJackКод O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] beta.exe O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) Пофиксить то, что есть? log.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 марта, 2009 Жалоба Поделиться Опубликовано 26 марта, 2009 Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ Ссылка на комментарий Поделиться на другие сайты Поделиться
gserg Опубликовано 26 марта, 2009 Автор Жалоба Поделиться Опубликовано 26 марта, 2009 Такой вопрос, эти же значения были найдены при первичном сканировании: C:\Documents and Settings\Valentina\Local Settings\Temporary Internet Files\OLKB4\att37.tmp/{MS-OLE}/\__recip_version1.0_#00000007\__substg1.0_0FF60102 >>>>> Trojan.Kyjak C:\Documents and Settings\Valentina\Local Settings\Temporary Internet Files\OLKB4\att38.tmp/{MS-OLE}/\__recip_version1.0_#00000007\__substg1.0_0FF60102 >>>>> Trojan.Kyjak C:\EGE\Äridokumentide Kogumik\Dokumendid\Plank3.doc >>> suspicion for Monitor.Win32.Perflogger.d ( 046E9893 0B10744B А также это: !! Attention !!! Recovered 35 KiST functions during Anti-Rootkit operation This may affect execution of several programs, so it is strongly recommended to reboot Эти же значения остались. Скоро сделаю логи Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 марта, 2009 Жалоба Поделиться Опубликовано 26 марта, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Ссылка на комментарий Поделиться на другие сайты Поделиться
gserg Опубликовано 26 марта, 2009 Автор Жалоба Поделиться Опубликовано 26 марта, 2009 Такой вопрос, эти же значения были найдены при первичном сканировании: C:\Documents and Settings\Valentina\Local Settings\Temporary Internet Files\OLKB4\att37.tmp/{MS-OLE}/\__recip_version1.0_#00000007\__substg1.0_0FF60102 >>>>> Trojan.Kyjak C:\Documents and Settings\Valentina\Local Settings\Temporary Internet Files\OLKB4\att38.tmp/{MS-OLE}/\__recip_version1.0_#00000007\__substg1.0_0FF60102 >>>>> Trojan.Kyjak C:\EGE\Äridokumentide Kogumik\Dokumendid\Plank3.doc >>> suspicion for Monitor.Win32.Perflogger.d ( 046E9893 0B10744B А также это: !! Attention !!! Recovered 35 KiST functions during Anti-Rootkit operation This may affect execution of several programs, so it is strongly recommended to reboot Эти же значения остались. Скоро сделаю логи А вот и логи: только я не пойму, что-то не так. В RSITостались теже значения, что и до того, как я пофиксил в HiJack. :dontgetit: O23 - Service: Windows Audio AudioSrvVSS (AudioSrvVSS) - Unknown owner - .exe (file missing) O23 - Service: TCP/IP NetBIOS Helper LmHostsdmserver (LmHostsdmserver) - Unknown owner - .exe (file missing)O23 - Service: Remote Desktop Help Session Manager RDSessMgrmnmsrvc (RDSessMgrmnmsrvc) - Unknown owner - .exe (file missing) O23 - Service: SSDP Discovery Service SSDPSRVTapiSrv (SSDPSRVTapiSrv) - Unknown owner - .exe (file missing) O23 - Service: Upload Manager uploadmgrALG (uploadmgrALG) - Unknown owner - .exe (file missing) log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
gserg Опубликовано 26 марта, 2009 Автор Жалоба Поделиться Опубликовано 26 марта, 2009 Почистил ATFом 214МБ, но битые значения HiJack не фиксит :dontgetit: Ссылка на комментарий Поделиться на другие сайты Поделиться
gserg Опубликовано 26 марта, 2009 Автор Жалоба Поделиться Опубликовано 26 марта, 2009 Если через administrative tools/services отключить эти службы (были по умолчанию automatic), то и HiJack больше их не находит. O23 - Service: Windows Audio AudioSrvVSS (AudioSrvVSS) - Unknown owner - .exe (file missing) O23 - Service: TCP/IP NetBIOS Helper LmHostsdmserver (LmHostsdmserver) - Unknown owner - .exe (file missing)O23 - Service: Remote Desktop Help Session Manager RDSessMgrmnmsrvc (RDSessMgrmnmsrvc) - Unknown owner - .exe (file missing) O23 - Service: SSDP Discovery Service SSDPSRVTapiSrv (SSDPSRVTapiSrv) - Unknown owner - .exe (file missing) O23 - Service: Upload Manager uploadmgrALG (uploadmgrALG) - Unknown owner - .exe (file missing) Ссылка на комментарий Поделиться на другие сайты Поделиться
gserg Опубликовано 27 марта, 2009 Автор Жалоба Поделиться Опубликовано 27 марта, 2009 Скажите пожалуйста, лечение можно считать законченным или отключение служб не избавляет от проблем? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти