Jump to content
СофтФорум - всё о компьютерах и не только

вирус или троян какойто


Recommended Posts

дело такое же

http://www.softboard.ru/index.php?showtopic=57945&st=0

подскажите че делать, авз установил,

куда кидать логи?

Надо было их к зтому сообщению и прикрепить, вот обьяснение - Как присоединить к сообщению лог исследования системы с помощью AVZ http://www.softboard.ru/index.php?showtopic=51372

Link to comment
Share on other sites

вот теперь сделал как написанно, только ссылки на антивирусы не открываются, сеймоде тоже не запускается- просто перезагружает компьютер.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

У вас на раб столе лежит tuktuk.com размером 4680кб. Что это?

10.13.70.12 127.0.0.1 - эти IP вам о чем-нибудь говорят?

Autorun.inf - зловред в корне E:\.

sbgg.pif в корне каталога диска Е:\ - принадлежит вам?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=1

"DisableRegistryTools"=1

Запрет на редактирование реестра и запуск диспетчера задач.

Плюс полный набор измененных политик и еще бог знает чего...

Оставим написание скрипта лечения профессионалам. Ждите Akok'a.

Edited by Cameroon
Link to comment
Share on other sites

tatitati: off topic.

Отключите в настройках соответствующий звук если так раздражает.

Наверно у меня параноя, но раньше в поисковке mail у меня высвечивалось "искать в Волгограде (мой город) а сегодня появилс Ростов-на-дону" может кто то лазеет инете через мой комп.)

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('avldr.dll','');SetServiceStart('asc3360pr', 4);QuarantineFile('C:\WINDOWS\system32\drivers\hoohln.sys','');QuarantineFile('c:\docume~1\ИГОРЬ\locals~1\temp\winalegl.exe','');DeleteFile('c:\docume~1\ИГОРЬ\locals~1\temp\winalegl.exe');DeleteFile('C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winalegl.exe');DeleteFile('C:\WINDOWS\system32\drivers\hoohln.sys');DeleteFile('E:\sbgg.pif');DeleteFile('E:\autorun.inf');DeleteService('asc3360pr');BC_ImportALL;ExecuteSysClean;ExecuteRepair(6);ExecuteRepair(12);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Включите AVZPM и повторите логи

Edited by akoK
Link to comment
Share on other sites

to Cameroon tuktuk.com это мой авз

IP не мои, даже не определяются где находятся, гдето за пределами России, остальные штуки видимо не мои

И после скриптов, включается панда, но проверять отказывается, тупит.

Диспетчер задач и реестр еще находятся под влиянием "трояна"

Link to comment
Share on other sites

Для начала учтите, все что я советую вы делаете на свой страх и риск! Я только недавно начал обучение.

Диспетчер задач и реестр еще находятся под влиянием "трояна"

Попробуйте так:

Пуск -> Выполнить -> gpedit.msc. Затем проходим:

USER CONFIGURATION -> ADMINISTRATIVE TEMPLATES -> SYSTEM -> PREVENT ACCESS TO REGISTRY EDITING TOOLS. Там правым кликом открываем свойства, выключаем запрет.

Пишем ключик реестра в блокноте , сохраняем с расширением .key и добавляем информацию в реестр двойным кликом по нему:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]“Hidden”=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]“CheckedValue”=dword:00000001

В HJT профиксите строку:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Чтобы разблокировать Диспетчер задач попробуйте пройти (Выполнить -> regedit):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

Установите значение "DisableTaskMgr=0"

С этим надо бы тоже разобраться:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]"dontdisplaylastusername"=0"legalnoticecaption"="legalnoticetext"="shutdownwithoutlogon"=1"undockwithoutlogon"=1"EnableLUA"=0[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]"NoDriveTypeAutoRun"=145[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]"NoDriveTypeAutoRun"="NoPublishingWizard"="NoWebServices"="NoOnlinePrintsWizard"=

"dontdisplaylastusername"=0 -> запрет отображать имя пользователя.

"shutdownwithoutlogon"=1 -> выключение без отображения экрана logon

"EnableLUA"=0 -> запрещает User Access Control

Далее идет еще ряд изменения касающихся включения и выключения компьютера.

Возможно, они и приводят к:

после выполнения 1ого скрипта, комп затупил пришлось самому перегружать
Link to comment
Share on other sites

вот сделал,

у мения еще при выключении выдает ошибку инциализации приложени netsch.exe или типо того

при выключении компа всмысле

i

Уведомление:

Карантин сюда никто не просил прикреплять

Edited by wise-wistful
Link to comment
Share on other sites

Елы палы=)

диск е: это флешка которую сетра забыла забрать когда уезжала)

я только счас обнаружил.

Может ее просто вытащить с компа????

Или не надо?

Инвокс,

Насчёт флешки перечитайте сообщение №19 от Akok-а, по-моему её рано вынимать из ПК, но об этом пусть лучше скажут люди компетентные.

Необходимо ещё раз выполнить проверку и прислать новые логи.

Вот ссылка, которую ранее давал Cameroon «Выполните все эти предписания»... http://www.softboard.ru/index.php?showtopic=51343

то есть Правила подраздела, Диагностика, пункт №5, перезагрузка и пункт №6.

Удачи.

Link to comment
Share on other sites

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\docume~1\ИГОРЬ\locals~1\temp\winxopcui.exe');QuarantineFile('c:\docume~1\ИГОРЬ\locals~1\temp\winxopcui.exe','');QuarantineFile('E:\sasdv.pif','');QuarantineFile('E:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\drivers\hoohln.sys','');QuarantineFile('C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winxopcui.exe','');DeleteFile('C:\DOCUME~1\ИГОРЬ\LOCALS~1\Temp\winxopcui.exe');DeleteFile('C:\WINDOWS\system32\drivers\hoohln.sys');DeleteFile('E:\autorun.inf');DeleteFile('E:\sasdv.pif');DeleteFile('c:\docume~1\ИГОРЬ\locals~1\temp\winxopcui.exe');ExecuteRepair(11);ExecuteRepair(17);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на thyre2002@tut.by. В письме укажите ссылку на тему.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Link to comment
Share on other sites

thyrex, скрипт выполнил, на почту отправил

вот лог Гмера

thyrex, Статус доставки:

messagedelivery-status1.2

Reporting-MTA: dns; forwards5.yandex.ru

X-Yandex-Queue-ID: 55FF6AE273

X-Yandex-Sender: rfc822; ******

Arrival-Date: Fri, 17 Apr 2009 11:00:17 +0400 (MSD)

Final-Recipient: rfc822; thyre2002@tut.by

Original-Recipient: rfc822;thyre2002@tut.by

Action: failed

Status: 5.0.0

Remote-MTA: dns; mx01.tut.by

Diagnostic-Code: smtp; 550 thyre2002@tut.by unknown user account

371

Сообщения не доставляются!

________.log

________.log

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...