Перейти к содержанию
СофтФорум - всё о компьютерах и не только

вирус или троян какойто

Инвокс
 Поделиться

Рекомендуемые сообщения

long.

long.

Опубликовано
Опубликовано

дело такое же

http://www.softboard.ru/index.php?showtopic=57945&st=0

подскажите че делать, авз установил,

куда кидать логи?

Надо было их к зтому сообщению и прикрепить, вот обьяснение - Как присоединить к сообщению лог исследования системы с помощью AVZ http://www.softboard.ru/index.php?showtopic=51372

Ссылка на комментарий
Поделиться на другие сайты
Инвокс

Инвокс

Опубликовано
  • Автор
Опубликовано

Счас запустил проверку оптять через полчасика проверится, а лог просто сохранить в блокноте копастив из протокола АВЗ?

Ссылка на комментарий
Поделиться на другие сайты
Инвокс

Инвокс

Опубликовано
  • Автор
Опубликовано

вот сделал две проверки, скину 2 лога

если кто че знает напишите в скайп пожалуйста. ник в протоколе можно найти=)

avz_log.txt

avz_log2.txt

avz_log.txt

avz_log2.txt

Ссылка на комментарий
Поделиться на другие сайты
Инвокс

Инвокс

Опубликовано
  • Автор
Опубликовано

вот теперь сделал как написанно, только ссылки на антивирусы не открываются, сеймоде тоже не запускается- просто перезагружает компьютер.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Cameroon

Cameroon

Опубликовано
Опубликовано (изменено)

У вас на раб столе лежит tuktuk.com размером 4680кб. Что это?

10.13.70.12 127.0.0.1 - эти IP вам о чем-нибудь говорят?

Autorun.inf - зловред в корне E:\.

sbgg.pif в корне каталога диска Е:\ - принадлежит вам?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=1

"DisableRegistryTools"=1

Запрет на редактирование реестра и запуск диспетчера задач.

Плюс полный набор измененных политик и еще бог знает чего...

Оставим написание скрипта лечения профессионалам. Ждите Akok'a.

Изменено пользователем Cameroon
Ссылка на комментарий
Поделиться на другие сайты
tatitati

tatitati

Опубликовано
Опубликовано

tatitati: off topic.

Отключите в настройках соответствующий звук если так раздражает.

Наверно у меня параноя, но раньше в поисковке mail у меня высвечивалось "искать в Волгограде (мой город) а сегодня появилс Ростов-на-дону" может кто то лазеет инете через мой комп.)

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано (изменено)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('avldr.dll','');SetServiceStart('asc3360pr', 4);QuarantineFile('C:\WINDOWS\system32\drivers\hoohln.sys','');QuarantineFile('c:\docume~1\ИГОРЬ\locals~1\temp\winalegl.exe','');DeleteFile('c:\docume~1\ИГОРЬ\locals~1\temp\winalegl.exe');DeleteFile('C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winalegl.exe');DeleteFile('C:\WINDOWS\system32\drivers\hoohln.sys');DeleteFile('E:\sbgg.pif');DeleteFile('E:\autorun.inf');DeleteService('asc3360pr');BC_ImportALL;ExecuteSysClean;ExecuteRepair(6);ExecuteRepair(12);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Включите AVZPM и повторите логи

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
Инвокс

Инвокс

Опубликовано
  • Автор
Опубликовано

to Cameroon tuktuk.com это мой авз

IP не мои, даже не определяются где находятся, гдето за пределами России, остальные штуки видимо не мои

И после скриптов, включается панда, но проверять отказывается, тупит.

Диспетчер задач и реестр еще находятся под влиянием "трояна"

Ссылка на комментарий
Поделиться на другие сайты
Cameroon

Cameroon

Опубликовано
Опубликовано

Для начала учтите, все что я советую вы делаете на свой страх и риск! Я только недавно начал обучение.

Диспетчер задач и реестр еще находятся под влиянием "трояна"

Попробуйте так:

Пуск -> Выполнить -> gpedit.msc. Затем проходим:

USER CONFIGURATION -> ADMINISTRATIVE TEMPLATES -> SYSTEM -> PREVENT ACCESS TO REGISTRY EDITING TOOLS. Там правым кликом открываем свойства, выключаем запрет.

Пишем ключик реестра в блокноте , сохраняем с расширением .key и добавляем информацию в реестр двойным кликом по нему:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]“Hidden”=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]“CheckedValue”=dword:00000001

В HJT профиксите строку:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Чтобы разблокировать Диспетчер задач попробуйте пройти (Выполнить -> regedit):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

Установите значение "DisableTaskMgr=0"

С этим надо бы тоже разобраться:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]"dontdisplaylastusername"=0"legalnoticecaption"="legalnoticetext"="shutdownwithoutlogon"=1"undockwithoutlogon"=1"EnableLUA"=0[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]"NoDriveTypeAutoRun"=145[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]"NoDriveTypeAutoRun"="NoPublishingWizard"="NoWebServices"="NoOnlinePrintsWizard"=

"dontdisplaylastusername"=0 -> запрет отображать имя пользователя.

"shutdownwithoutlogon"=1 -> выключение без отображения экрана logon

"EnableLUA"=0 -> запрещает User Access Control

Далее идет еще ряд изменения касающихся включения и выключения компьютера.

Возможно, они и приводят к:

после выполнения 1ого скрипта, комп затупил пришлось самому перегружать
Ссылка на комментарий
Поделиться на другие сайты
Инвокс

Инвокс

Опубликовано
  • Автор
Опубликовано

пока пробовать не буду, подожду чего akoK скажет, если че завтра проделаю.

Спасибо большое что не оставляете без внимания!=)

Ссылка на комментарий
Поделиться на другие сайты
Инвокс

Инвокс

Опубликовано
  • Автор
Опубликовано (изменено)

вот сделал,

у мения еще при выключении выдает ошибку инциализации приложени netsch.exe или типо того

при выключении компа всмысле

i

Уведомление:

Карантин сюда никто не просил прикреплять

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
Инвокс

Инвокс

Опубликовано
  • Автор
Опубликовано

Елы палы=)

диск е: это флешка которую сетра забыла забрать когда уезжала)

я только счас обнаружил.

Может ее просто вытащить с компа????

Или не надо?

Ссылка на комментарий
Поделиться на другие сайты
long.

long.

Опубликовано
Опубликовано

Елы палы=)

диск е: это флешка которую сетра забыла забрать когда уезжала)

я только счас обнаружил.

Может ее просто вытащить с компа????

Или не надо?

Инвокс,

Насчёт флешки перечитайте сообщение №19 от Akok-а, по-моему её рано вынимать из ПК, но об этом пусть лучше скажут люди компетентные.

Необходимо ещё раз выполнить проверку и прислать новые логи.

Вот ссылка, которую ранее давал Cameroon «Выполните все эти предписания»... http://www.softboard.ru/index.php?showtopic=51343

то есть Правила подраздела, Диагностика, пункт №5, перезагрузка и пункт №6.

Удачи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\docume~1\ИГОРЬ\locals~1\temp\winxopcui.exe');QuarantineFile('c:\docume~1\ИГОРЬ\locals~1\temp\winxopcui.exe','');QuarantineFile('E:\sasdv.pif','');QuarantineFile('E:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\drivers\hoohln.sys','');QuarantineFile('C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winxopcui.exe','');DeleteFile('C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winxopcui.exe');DeleteFile('C:\WINDOWS\system32\drivers\hoohln.sys');DeleteFile('E:\autorun.inf');DeleteFile('E:\sasdv.pif');DeleteFile('c:\docume~1\ИГОРЬ\locals~1\temp\winxopcui.exe');ExecuteRepair(11);ExecuteRepair(17);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на thyre2002@tut.by. В письме укажите ссылку на тему.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты
Инвокс

Инвокс

Опубликовано
  • Автор
Опубликовано

thyrex, скрипт выполнил, на почту отправил

вот лог Гмера

thyrex, Статус доставки:

messagedelivery-status1.2

Reporting-MTA: dns; forwards5.yandex.ru

X-Yandex-Queue-ID: 55FF6AE273

X-Yandex-Sender: rfc822; ******

Arrival-Date: Fri, 17 Apr 2009 11:00:17 +0400 (MSD)

Final-Recipient: rfc822; thyre2002@tut.by

Original-Recipient: rfc822;thyre2002@tut.by

Action: failed

Status: 5.0.0

Remote-MTA: dns; mx01.tut.by

Diagnostic-Code: smtp; 550 thyre2002@tut.by unknown user account

371

Сообщения не доставляются!

________.log

________.log

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...