Xenon Опубликовано 6 декабря, 2010 Опубликовано 6 декабря, 2010 (изменено) У товарища комп начал тормозить и BSODить. Зашел я мимоходом, а там "толпа" вирей. AVZ не удалось сначала запустить. В Безопасном режиме были страшные тормоза, что невозможно что-то делать. С лайв-CD загрузился, пошерстил AVZ. Потом уже загрузился AVZ и в простом режиме. Сделал в нём восстановление системы по 16п. вкл. Прошелся ВЭБ-курейтом (нашел несколько вирусов). Сделал скрипты для логов. Ну и в ХайДжеке. Операционка WinXP (ссори с собой не было на флешке GetSystemInfo) вроде SP2. Какая-то сборка. Антивирем ESET. Да! В папке Windows/sistem32 полно файлов с названием из набора символов (букв,цифр, ...). ESET когда "носом" ткал в эти файлы детектировал как трояны и бэкдуры. В папке C/Document and Setting/.../Temp после загрузки системы каждый раз появлялся rescue.exe, хотя из автозагрузки (через Msconfig ) я его убрал. Тоже определялся как вирус. Времени особо не было. Уходя запустид Курейт на полную проверку. Посмотрите пожалуйста логи... P.S. Может проще будет переустановить винду? Изменено 6 декабря, 2010 пользователем Xenon
Roman_Five Опубликовано 6 декабря, 2010 Опубликовано 6 декабря, 2010 Пофиксите в HijackThis: O20 - AppInit_DLLs: dfhclfhd.dll, Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('sptd'); QuarantineFile('sppy.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys',''); QuarantineFile('C:\WINDOWS\system32\rescue32.exe',''); QuarantineFile('C:\WINDOWS\system32\dfhclfhd.dll',''); DeleteFile('C:\WINDOWS\system32\dfhclfhd.dll'); DeleteFile('C:\WINDOWS\system32\rescue32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Rescue'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. После проведённого лечения рекомендуется установить следующие обновления: - установить SP3 для Windows XP - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Сделайте новые логи по правилам. + сделайте логи RSIT (log.txt и info.txt) http://defendium.info/showthread.php/20-Kа...ью-утилиты-rsit
Xenon Опубликовано 6 декабря, 2010 Автор Опубликовано 6 декабря, 2010 (изменено) Раскрывающийся текст: Пофиксите в HijackThis: O20 - AppInit_DLLs: dfhclfhd.dll, Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('sptd'); QuarantineFile('sppy.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys',''); QuarantineFile('C:\WINDOWS\system32\rescue32.exe',''); QuarantineFile('C:\WINDOWS\system32\dfhclfhd.dll',''); DeleteFile('C:\WINDOWS\system32\dfhclfhd.dll'); DeleteFile('C:\WINDOWS\system32\rescue32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Rescue'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. После проведённого лечения рекомендуется установить следующие обновления: - установить SP3 для Windows XP - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Сделайте новые логи по правилам. + сделайте логи RSIT (log.txt и info.txt) http://defendium.info/showthread.php/20-Kа...ью-утилиты-rsit Спасибо! Сегодня если получится зайду к нему, сделаю. Итак, фуу! Всё сделал и обновил! Каранин отправил (из автоответа:Раскрывающийся текст: " bcqr00003.dat,bcqr00004.dat,sptd.sys Вредоносный код в файлах не обнаружен. bcqr00005.dat,bcqr00006.dat,rescue32.exe - Trojan-Spy.Win32.BZub.jaj Детектирование файлов будет добавлено в следующее обновление. dfhclfhd.dll Файл в процессе обработки." ). Обновления для ИЕ8 загружаются. Система вроде пока работает нормально! Прилагаю логи. И отчет по GetSystemInfo: Раскрывающийся текст: http://www.getsysteminfo.com/read.php?file...19ea3b270475864 P.S. и еще напрягают процессы в Диспетчере задач (коих у меня нет): C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\WINDOWS\system32\spnpinst.exe C:\WINDOWS\system32\Sysocmgr.exe Изменено 6 декабря, 2010 пользователем Xenon
Roman_Five Опубликовано 6 декабря, 2010 Опубликовано 6 декабря, 2010 (изменено) скачайте OSAM установите. запустите. дождитесь окончания сканирования. в дереве слева в разделе AppInit_DLLs выберите ветку HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows справа найдите объект dfhclfhd.dll правый клик по нему - Turn run OFF внизу справа нажмите Apply вверху справа нажмите Save Log перезагрузите компьютер. полученный лог osam.html прикрепите к новому сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('dwshd', 4); StopService('dwshd'); SetServiceStart('epfw', 4); StopService('epfw'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ayv6ju0q.sys',' '); QuarantineFile('dfhclfhd.dll',''); QuarantineFile('C:\WINDOWS\system32\rescue32.exe',''); QuarantineFile('C:\Program Files\plugin.exe',' '); QuarantineFile('C:\WINDOWS\System32\drivers\dwshd.sys',' '); DeleteFile('C:\Program Files\plugin.exe'); DeleteFile('C:\WINDOWS\system32\rescue32.exe'); DeleteFile('dfhclfhd.dll'); DeleteFile('C:\WINDOWS\System32\drivers\dwshd.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ayv6ju0q.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); DeleteService('dwshd'); DeleteService('epfw'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\rescue32.exe'); BC_DeleteFile('dfhclfhd.dll'); BC_DeleteSvc('dwshd'); BC_DeleteSvc('epfw'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. ---- upd: подправил скрипт - было 2 карантина на 1 файл upd2: и оставил лишнюю запятую Изменено 9 декабря, 2010 пользователем Roman_Five
Xenon Опубликовано 6 декабря, 2010 Автор Опубликовано 6 декабря, 2010 Roman_Five, ОК но уже завтра. ЗЫ Я уж думаю, что проще было вчера еще систему переустановить. Но! Спасибо за помощь, буду добивать ...пока что
Xenon Опубликовано 7 декабря, 2010 Автор Опубликовано 7 декабря, 2010 (изменено) скачайте OSAMустановите. запустите. дождитесь окончания сканирования. в дереве слева в разделе AppInit_DLLs выберите ветку HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows справа найдите объект dfhclfhd.dll правый клик по нему - Turn run OFF внизу справа нажмите Apply вверху справа нажмите Save Log перезагрузите компьютер. полученный лог osam.html прикрепите к новому сообщению. После "внизу справа нажмите Apply" нужно закрыть и точно ли "вверху справа нажмите Save Log" ? Нашел только вверху слева Save Log Скрипт не успел сделать, т.к. после выше описанного и перезагрузки не получается зайти на фан-форум ЛК. А ДО - заходил! Теперь скопирую и завтра сделаю у него. Лог OSAM прилагаю... Изменено 7 декабря, 2010 пользователем Xenon
Roman_Five Опубликовано 7 декабря, 2010 Опубликовано 7 декабря, 2010 отключите ещё в OSAM это: HKLM\SYSTEM\CurrentControlSet\Services afqnsazl C:\WINDOWS\system32\drivers\afqnsazl.sys перезагрузитесь. выполните старые скрипты и сделайте новые логи. если доступ к форуму не восстановился сам - выполните скрипт: begin ExecuteRepair(14); RebootWindows(true); end. слева Save Log да.слева.
Xenon Опубликовано 7 декабря, 2010 Автор Опубликовано 7 декабря, 2010 отключите ещё в OSAM это: HKLM\SYSTEM\CurrentControlSet\Services afqnsazl C:\WINDOWS\system32\drivers\afqnsazl.sys перезагрузитесь. выполните старые скрипты и сделайте новые логи. если доступ к форуму не восстановился сам - выполните скрипт: begin ExecuteRepair(14); RebootWindows(true); end. да.слева. ОК! Спасибо! Но уже завтра к вечеру после работы.
Xenon Опубликовано 9 декабря, 2010 Автор Опубликовано 9 декабря, 2010 отключите ещё в OSAM это: HKLM\SYSTEM\CurrentControlSet\Services afqnsazl C:\WINDOWS\system32\drivers\afqnsazl.sys Где это и как отключить в OSAM ? Раскрывающийся текст: Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('dwshd', 4); StopService('dwshd'); SetServiceStart('epfw', 4); StopService('epfw'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ayv6ju0q.sys',' '); QuarantineFile('dfhclfhd.dll',''); QuarantineFile('C:\WINDOWS\system32\rescue32.exe',''); QuarantineFile('C:\Program Files\plugin.exe',' '); QuarantineFile('C:\WINDOWS\System32\drivers\dwshd.sys',' '); DeleteFile('C:\Program Files\plugin.exe'); DeleteFile('C:\WINDOWS\system32\rescue32.exe'); DeleteFile('dfhclfhd.dll'); DeleteFile('C:\WINDOWS\System32\drivers\dwshd.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ayv6ju0q.sys',' '); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); DeleteService('dwshd'); DeleteService('epfw'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\rescue32.exe'); BC_DeleteFile('dfhclfhd.dll'); BC_DeleteSvc('dwshd'); BC_DeleteSvc('epfw'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Не удается выполнить скрипт в АВЗ: выскакивает окошко с "Ошибка: Too many actual parameters в позиции 19:11"
Roman_Five Опубликовано 9 декабря, 2010 Опубликовано 9 декабря, 2010 Где это и как отключить в OSAM ?Ошибка: Too many actual parameters в позиции 19:11"[/b] по аналогии с предыдущим файлом, что Вы отключали. подробнее надо? скрипт подправил. извините.
Xenon Опубликовано 9 декабря, 2010 Автор Опубликовано 9 декабря, 2010 (изменено) по аналогии с предыдущим файлом, что Вы отключали.подробнее надо? Ссори, но желательно для нуба (меня) подробнее! HKLM\SYSTEM\CurrentControlSet\Services - в какой вкладке? afqnsazl C:\WINDOWS\system32\drivers\afqnsazl.sys - не нашел что-то такого После первого дня, уходя поставил полную проверку Курейтом и сделали потом проверку ESETом компа. Может они чего удалили... Изменено 9 декабря, 2010 пользователем Xenon
Roman_Five Опубликовано 9 декабря, 2010 Опубликовано 9 декабря, 2010 запустите. дождитесь окончания сканирования. в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services справа найдите объект afqnsazl правый клик по нему - Turn run OFF внизу справа нажмите Apply вверху справа нажмите Save Log перезагрузите компьютер. полученный лог osam.html прикрепите к новому сообщению.
Xenon Опубликовано 9 декабря, 2010 Автор Опубликовано 9 декабря, 2010 запустите. дождитесь окончания сканирования.в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services справа найдите объект afqnsazl правый клик по нему - Turn run OFF внизу справа нажмите Apply вверху справа нажмите Save Log перезагрузите компьютер. полученный лог osam.html прикрепите к новому сообщению. Искал там тоже - объект afqnsazl не нашел (см. выше)
Roman_Five Опубликовано 9 декабря, 2010 Опубликовано 9 декабря, 2010 в прошлом отчёте был. выполните скрипты в AVZ и сделайте новый отчёт OSAM и логи AVZ интернет / доступ появился?
Xenon Опубликовано 9 декабря, 2010 Автор Опубликовано 9 декабря, 2010 (изменено) в прошлом отчёте был.выполните скрипты в AVZ и сделайте новый отчёт OSAM и логи AVZ интернет / доступ появился? Доступ появился (сделал восстановление в АВЗ) Скрипт в АВЗ сделал, счас еще в ОСАМ сделаю ЗЫ В OSAM стоит уже Off - просто сделал лог Изменено 9 декабря, 2010 пользователем Xenon
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти