Jump to content
СофтФорум - всё о компьютерах и не только

Разгребаем от вирусов рабочий комп


Recommended Posts

День добрый. Попросили помочь с установкой на рабочий комп антивирусника Norton internet security 2009. Установка висла, комп тормозил. Cure it нашёл maosboot в загрузочном секторе + в файлах восстановления системы bulknet.238. Нужна помощь. Прикрепляю логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Link to comment
Share on other sites

День добрый. Попросили помочь с установкой на рабочий комп антивирусника Norton internet security 2009. Установка висла, комп тормозил. Cure it нашёл maosboot в загрузочном секторе + в файлах восстановления системы bulknet.238. Нужна помощь. Прикрепляю логи

Отключите защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\System32\Drivers\Winye50.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc04.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr15.sys','');DeleteService('uploadmgrALG');DeleteService('SSDPSRVTapiSrv');DeleteService('RDSessMgrmnmsrvc');DeleteService('LmHostsdmserver');DeleteService('AudioSrvVSS');DeleteService('Winye50');DeleteService('Winxc04');DeleteService('Winnr15');QuarantineFile('beta.exe','');QuarantineFile('WinCtrl32.dll','');DeleteFile('WinCtrl32.dll');DeleteFile('beta.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Winnr15.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winxc04.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Winye50.sys');BC_ImportDeletedList;BC_DeleteSvc('AudioSrvVSS');BC_DeleteSvc('LmHostsdmserver');BC_DeleteSvc('RDSessMgrmnmsrvc');BC_DeleteSvc('SSDPSRVTapiSrv');BC_DeleteSvc('uploadmgrALG');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by

2. Пофиксить в HiJack

O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] beta.exeO20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)O23 - Service: Windows Audio AudioSrvVSS (AudioSrvVSS) - Unknown owner - .exe (file missing)O23 - Service: TCP/IP NetBIOS Helper LmHostsdmserver (LmHostsdmserver) - Unknown owner - .exe (file missing)O23 - Service: Remote Desktop Help Session Manager RDSessMgrmnmsrvc (RDSessMgrmnmsrvc) - Unknown owner - .exe (file missing)O23 - Service: SSDP Discovery Service SSDPSRVTapiSrv (SSDPSRVTapiSrv) - Unknown owner - .exe (file missing)O23 - Service: Upload Manager uploadmgrALG (uploadmgrALG) - Unknown owner - .exe (file missing)

Добавка к предыдущему. Повторите логи

i

Уведомление:

Исправил скрипт.

Edited by akoK
Link to comment
Share on other sites

thyrex при выполнении скрипта получил ошибку :smiles20(7): , сам ничего править не стал.

Script error: ')' expected, position [4:16]

wise-wistful понял выложу, я про карантин имел ввиду, что вышлю на мыло.

Old men спасибо за ссылку, я не мог тогда с уомпьтера с кирилицей писать, теперь снова могу.

Link to comment
Share on other sites

Поправил скрипт. Должен работать.

Да всё работает, компьютер только после него долго перезагружался, но ничего справился. Сейчас доделаю лечение и выложу результаты

Посмотрите пожалуйста логи RSIT потому как следующие строчки отсутствуют.

Пофиксить в HiJack

Код

O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] beta.exe

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Пофиксить то, что есть?

log.txt

log.txt

Link to comment
Share on other sites

Такой вопрос,

эти же значения были найдены при первичном сканировании:

C:\Documents and Settings\Valentina\Local Settings\Temporary Internet Files\OLKB4\att37.tmp/{MS-OLE}/\__recip_version1.0_#00000007\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

C:\Documents and Settings\Valentina\Local Settings\Temporary Internet Files\OLKB4\att38.tmp/{MS-OLE}/\__recip_version1.0_#00000007\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

C:\EGE\Äridokumentide Kogumik\Dokumendid\Plank3.doc >>> suspicion for Monitor.Win32.Perflogger.d ( 046E9893 0B10744B

А также это:

!! Attention !!! Recovered 35 KiST functions during Anti-Rootkit operation

This may affect execution of several programs, so it is strongly recommended to reboot

Эти же значения остались. Скоро сделаю логи

Link to comment
Share on other sites

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Link to comment
Share on other sites

Такой вопрос,

эти же значения были найдены при первичном сканировании:

C:\Documents and Settings\Valentina\Local Settings\Temporary Internet Files\OLKB4\att37.tmp/{MS-OLE}/\__recip_version1.0_#00000007\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

C:\Documents and Settings\Valentina\Local Settings\Temporary Internet Files\OLKB4\att38.tmp/{MS-OLE}/\__recip_version1.0_#00000007\__substg1.0_0FF60102 >>>>> Trojan.Kyjak

C:\EGE\Äridokumentide Kogumik\Dokumendid\Plank3.doc >>> suspicion for Monitor.Win32.Perflogger.d ( 046E9893 0B10744B

А также это:

!! Attention !!! Recovered 35 KiST functions during Anti-Rootkit operation

This may affect execution of several programs, so it is strongly recommended to reboot

Эти же значения остались. Скоро сделаю логи

А вот и логи: только я не пойму, что-то не так. В RSITостались теже значения, что и до того, как я пофиксил в HiJack. :dontgetit:

O23 - Service: Windows Audio AudioSrvVSS (AudioSrvVSS) - Unknown owner - .exe (file missing)

O23 - Service: TCP/IP NetBIOS Helper LmHostsdmserver (LmHostsdmserver) - Unknown owner - .exe (file missing)O23 - Service: Remote Desktop Help Session Manager RDSessMgrmnmsrvc (RDSessMgrmnmsrvc) - Unknown owner - .exe (file missing)

O23 - Service: SSDP Discovery Service SSDPSRVTapiSrv (SSDPSRVTapiSrv) - Unknown owner - .exe (file missing)

O23 - Service: Upload Manager uploadmgrALG (uploadmgrALG) - Unknown owner - .exe (file missing)

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

Если через administrative tools/services отключить эти службы (были по умолчанию automatic), то и HiJack больше их не находит.

O23 - Service: Windows Audio AudioSrvVSS (AudioSrvVSS) - Unknown owner - .exe (file missing)

O23 - Service: TCP/IP NetBIOS Helper LmHostsdmserver (LmHostsdmserver) - Unknown owner - .exe (file missing)O23 - Service: Remote Desktop Help Session Manager RDSessMgrmnmsrvc (RDSessMgrmnmsrvc) - Unknown owner - .exe (file missing)

O23 - Service: SSDP Discovery Service SSDPSRVTapiSrv (SSDPSRVTapiSrv) - Unknown owner - .exe (file missing)

O23 - Service: Upload Manager uploadmgrALG (uploadmgrALG) - Unknown owner - .exe (file missing)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...