Просмотрите логи второго компа

SNAVOK · 17.01.2011, 01:17

http://fayloobmennik.org/vljkb0jqwuvb.html Пока решил пролечить второй комп и там трояны завелись ! Пролечил антивиром32 но мусор наверное остался. спасибо и в дополнение Опера что-то не работает, чере Explorer работаю

Iljeben · 17.01.2011, 03:57

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS.0\system32\sdra64.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
BC_ServiceKill('okiqoqcii');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

SNAVOK · 17.01.2011, 09:32

Здраствуйте, Спаибо за ответ, высылаю архив http://fayloobmennik.org/tlx5amt56agj.html

Iljeben · 17.01.2011, 12:04

Такой лог пришлите:

Цитата:

1. Скачайте установочный файл mbam-setup.exe
Здесь: http://www.besttechie.net/mbam/mbam-setup.exe
Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы программы!!!
4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!!
5. По окончании сканирования будет сгенерирован лог.
6. Залейте его без переименования на файлообменник и ссылку выложите на форум.

SNAVOK · 17.01.2011, 23:10

Эта программа лучше чем -AVZ?

goredey · 17.01.2011, 23:37

Цитата:

Сообщение от SNAVOK

Эта программа лучше чем -AVZ?

Нет идеальных програм, все они в целом дополняют друг друга. Поэтому лечение проводится в комплексе, чтобы исключить вирусную активность.

SNAVOK · 17.01.2011, 23:57

http://www.ge.tt/#4ToEl2T и еще на одном обменнике http://fayloobmennik.org/tlx5amt56agj.html

goredey · 18.01.2011, 00:24

удалите Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UrlLogger (Trojan.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Зараженные папки:
C:\WINDOWS.0\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\WINDOWS.0\$NtServicePackUninstall$\ctfmon.exe (Trojan.Agent) -> No action taken.

Смените пароли, присутствовал червь, ворующий их.
Совет на будущее: при переустановке системы используйте форматирование диска!

SNAVOK · 18.01.2011, 18:42

Зараженные папки:
C:\WINDOWS.0\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS.0\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\WINDOWS.0\$NtServicePackUninstall$\ctfmon.exe (Trojan.Agent) -> No action taken.

эти папки тоже убрать?

goredey · 18.01.2011, 18:43

SNAVOK, да

17.01.2011, 01:17	#1 (ссылка)
SNAVOK Новичок Регистрация: 16.11.2009 Сообщений: 78 Репутация: 0	Просмотрите логи второго компа http://fayloobmennik.org/vljkb0jqwuvb.html Пока решил пролечить второй комп и там трояны завелись ! Пролечил антивиром32 но мусор наверное остался. спасибо и в дополнение Опера что-то не работает, чере Explorer работаю

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Посмотрите плиз результаты проверки моего компа на вирусы(логи с вашей утилиты)	3aj4enyw	Безопасность	56	14.12.2010 05:10
ХР загружается со второго раза	bezumax	Windows XP	1	03.10.2010 00:32
Просмотрите пожалуйста логи, замечены неадекватности в поведении компа	Ярослав Титомир	Безопасность	4	16.06.2010 16:40
Установка второго Ос(XP)	Sekit	Windows XP	2	11.06.2010 19:47
Временами пропадает выход в инет со второго компа	neadekvat	Интернет и сети	6	06.06.2010 01:11
Кэш второго уровня !	raul245	Железо	1	02.05.2010 13:28
Посмотрите логи этого компа!!!	Сидъ	Безопасность	1	07.03.2010 15:21
Установка второго винта	Musketeer	Неисправности, настройка	12	06.03.2010 22:19
Посмотрите логи компа №2	Сидъ	Безопасность	4	11.02.2010 23:39
Логи компа №5	Сидъ	Безопасность	13	11.01.2010 11:12
Посмотрите, пожалуйста, логи компа №4	Сидъ	Безопасность	2	29.12.2009 18:09
Посмотрите Логи компа №3	Сидъ	Безопасность	8	23.12.2009 16:49

17.01.2011, 09:32	#3 (ссылка)
SNAVOK Новичок Регистрация: 16.11.2009 Сообщений: 78 Репутация: 0	Здраствуйте, Спаибо за ответ, высылаю архив http://fayloobmennik.org/tlx5amt56agj.html

17.01.2011, 23:10	#5 (ссылка)
SNAVOK Новичок Регистрация: 16.11.2009 Сообщений: 78 Репутация: 0	Эта программа лучше чем -AVZ?

17.01.2011, 23:57	#7 (ссылка)
SNAVOK Новичок Регистрация: 16.11.2009 Сообщений: 78 Репутация: 0	http://www.ge.tt/#4ToEl2T и еще на одном обменнике http://fayloobmennik.org/tlx5amt56agj.html

18.01.2011, 00:24	#8 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	удалите Зараженные ключи в реестре: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UrlLogger (Trojan.Agent) -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. Зараженные папки: C:\WINDOWS.0\system32\lowsec (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken. C:\WINDOWS.0\$NtServicePackUninstall$\ctfmon.exe (Trojan.Agent) -> No action taken. Смените пароли, присутствовал червь, ворующий их. Совет на будущее: при переустановке системы используйте форматирование диска!

18.01.2011, 18:42	#9 (ссылка)
SNAVOK Новичок Регистрация: 16.11.2009 Сообщений: 78 Репутация: 0	Зараженные папки: C:\WINDOWS.0\system32\lowsec (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS.0\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken. C:\WINDOWS.0\$NtServicePackUninstall$\ctfmon.exe (Trojan.Agent) -> No action taken. эти папки тоже убрать?

18.01.2011, 18:43	#10 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	SNAVOK, да

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads