DaTa Опубликовано 11 июня, 2009 Поделиться Опубликовано 11 июня, 2009 Седня смотрю один комп и вот что заметил: explorer.exe в тупую не хочет запускатся, только после переименования в какое либо другое название. Пришлось прописать в HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell; незнаю в логах Хиджака вроде бы ничего подозрительного не увидел. В Авз подозрение на руткит файла sptd.sys - проверил на Тотале - чист как стёклышко. hijackthis.log virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Jen94 Опубликовано 11 июня, 2009 Поделиться Опубликовано 11 июня, 2009 в логах Хиджака вроде бы ничего подозрительного не увидел что это? H:\temp\1.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
DaTa Опубликовано 11 июня, 2009 Автор Поделиться Опубликовано 11 июня, 2009 Хиджак Чтобы другие не поймали Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 11 июня, 2009 Поделиться Опубликовано 11 июня, 2009 Это что - C:\WINDOWS\1.exe ? Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',' '); QuarantineFile('C:\WINDOWS\1.exe',' '); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); BC_ImportAll; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(16); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполните: begin SetAVZPMStatus(true); RebootWindows(true); end. И сделайте новый комплект логов. Ссылка на комментарий Поделиться на другие сайты Поделиться
DaTa Опубликовано 11 июня, 2009 Автор Поделиться Опубликовано 11 июня, 2009 Это что - C:\WINDOWS\1.exe ? Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',' '); QuarantineFile('C:\WINDOWS\1.exe',' '); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); BC_ImportAll; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(16); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполните: begin SetAVZPMStatus(true); RebootWindows(true); end. И сделайте новый комплект логов. Пасибо Но файл 1.ехе в папке с ВИндою это и есть переименованый мною експлорер(напомню что файл с оригинальным именем не хочет запускатся, просто пишет что файл explorer.exe не найден). Щас убью заразу в комонах... Скоро вернусь с логами Вот новый комплект логов. Да кстати после выполнения первой части скрипта, когда АВЗ хотел делать карантин, файл C:\windows\system32\drivers\vdqynduz.sys убил ESET Smart Security эвристикой, предварительно поместив его в карантин. Если нужно файл могу выслать. Да explorer.exe уже запускается с оригинального имени. По моему это все? virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 11 июня, 2009 Поделиться Опубликовано 11 июня, 2009 C:\windows\system32\drivers\vdqynduz.sys - это драйвер AVZ В логах порядок Выполнить скрипт begin SetAVZPMStatus(False); ExecuteStdScr(6); RebootWindows(true); end. Компьютер перезагрузится. Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 11 июня, 2009 Поделиться Опубликовано 11 июня, 2009 Отладчик проводника удалили, жалобы есть? Ссылка на комментарий Поделиться на другие сайты Поделиться
DaTa Опубликовано 12 июня, 2009 Автор Поделиться Опубликовано 12 июня, 2009 (изменено) ДА с тем компом все чисто. Но вот незадача, дал вчера знакомому поискать в интернете книги, которые ему для учебы нужны, а он подхватил мне один из AdLoad'еров. Постоянно выводиться окно которое невозможно убить, с рекламой секс-шопов. Логи АВЗ предоставить немогу, так как при сканировании система вылетает в BSOD. Что делать не подскажете? Просто первый раз при включеном Касперским у меня на компе активный вредонос Malware Bytes - нашел руткит BAggle - вроде удалил, попросил перезагрузки, а окно все равно появляется. Gmer - при сканировании просто вылетает, просканировать невозможно. Какие еще будут варианты? Вот лог MBAM. mbam_log_2009_06_12__10_36_32_.txt Изменено 12 июня, 2009 пользователем DaTa Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 12 июня, 2009 Поделиться Опубликовано 12 июня, 2009 Попробуйте сделать логи с помощью полиморфного AVZ. Ссылка на комментарий Поделиться на другие сайты Поделиться
DaTa Опубликовано 12 июня, 2009 Автор Поделиться Опубликовано 12 июня, 2009 Попробуйте сделать логи с помощью полиморфного AVZ. При сканировании полиморфным АВЗ, касперского отключать? Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 12 июня, 2009 Поделиться Опубликовано 12 июня, 2009 Да. Ссылка на комментарий Поделиться на другие сайты Поделиться
DaTa Опубликовано 12 июня, 2009 Автор Поделиться Опубликовано 12 июня, 2009 (изменено) Да. Касперского не успел отключить, но попытка успешно провалилась. У меня в АВЗ есть включеный AVZPM, нашел 2 руткита, но стандартно на 3-ей стадии "Сканирование дисков" - BSOD. Попробовать теперь вырубить чето еще? Вот лог GMER Лог Хиджака Ах да при проверке полиморфным Авз, на стадии проверки Keyloger'ов, програма завершает работу с каким то неопределенным исключением(External Exception C00000D1). Логов выложыть немогу. Попробую зделать лог при помощи GetSystemInfo. 3xjrvgdt.log hijackthis.log Изменено 12 июня, 2009 пользователем DaTa Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 12 июня, 2009 Поделиться Опубликовано 12 июня, 2009 Попробуйте сделать логи полиморфным AVZ с ключом AM=Y. Если не получится - попробуйте сделать логи в безопасном режиме. Лог gmer после нажатия на кнопку Scan? Если нет - попробуйте переделать (не получится в нормальном режиме, тогда тоже в безопасном) Ссылка на комментарий Поделиться на другие сайты Поделиться
DaTa Опубликовано 12 июня, 2009 Автор Поделиться Опубликовано 12 июня, 2009 (изменено) Попробуйте сделать логи полиморфным AVZ с ключом AM=Y.Если не получится - попробуйте сделать логи в безопасном режиме. Лог gmer после нажатия на кнопку Scan? Если нет - попробуйте переделать (не получится в нормальном режиме, тогда тоже в безопасном) ДА это лог Gmer после кнопки Scan. Как запустить полиморфный авз с ключиком AM=Y ? Через командную строку типо: game.pif /AM=Y ? Ссылка на GetSysInfoParser: http://www.getsysteminfo.com/read.php?file...7f062491b959d24 Изменено 12 июня, 2009 пользователем DaTa Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 12 июня, 2009 Поделиться Опубликовано 12 июня, 2009 DaTa, какие антивирусные продукты установленны на данном компьтере и какие были раньше? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти