Перейти к содержанию

Нацеплял гадостей


Рекомендуемые сообщения

Добрый вечер,

был пойман буритос, XP Security center и иже с ним... KIS умер, и после этого полезли ко мне всякие крысы.

На данный момент имею несколько процессов непонятных, жуткие тормоза и произвольные перезагрузки.

Буритос чёт пропал сейчас, security center тоже непоявляется.

При попытке установки KIS 7.0 выдаёт ошибку 1304: Ошибка записи в файл C:\Documents and settings\........bla bla bla.....\AVP7\Bases\base001.avc. убедитесь, что вы обладаете правами доступа к папке.

рабочий стол теперь такой :

1a5d857ff2f39423f0283fbbe18f.jpeg

Логи:

Кстати логи AVZ сделать не могу... при распаковке архива выдаёт ошибку на все файлы из папки BASE...

hijackthis.rar

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты

всё что смог... AVZ после распаковки с ошибкой и переименования запускается.. но вместо половины символов вопросительные знаки и всякая чушь... посему сделать логи AVZ не могу.

Ссылка на сообщение
Поделиться на другие сайты

с англ. языком не помогло

вид имеет такой:

4727fe89010a97b2c30d557a4ee6.jpeg

 

При распаковке вот так:

54baf1e655da4297b5298c62e6e5.jpeg

 

Может мне помочь кто с таким букетом? или пасочки?

Ссылка на сообщение
Поделиться на другие сайты

Попробуйте скачать специальную утилиту отсюда: http://avptool.virusinfo.info/

Почитайте про неё и скачайте по ссылке.

 

Далее, проверьте компьютер с помощью неё из безопасного режима.

Должно помочь!

После этого установите антивирус (удалив предыдущий), обновите базы и выполните полную проверку.

результат напишите.

С уважением, Олег

Ссылка на сообщение
Поделиться на другие сайты

При установке AVPTool выдаёт те же ошибки файлов из папки BASES с расширением *.avz. Видимо поэтому выдаёт сообщение про повреждённые базы и проверять отказывается. Пробовал в безопасном и в обычном режиме.

версия AVZ gaga.com помогла.

Спасайте

логи:

 

АП

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Изменено пользователем Dmitry D.
Ссылка на сообщение
Поделиться на другие сайты

Спасибо, этого достаточно.

 

Скачайте IceSword.

 

Прибиваем в нем:

C:\WINDOWS\system32\Drivers\yfK06.sys

C:\WINDOWS\system32\WinCtrl32.dll

C:\WINDOWS\system32\wlite.sys

C:\WINDOWS\system32\Drivers\Hdtx70.sys

C:\WINDOWS\system32\WLCtrl32.dll

 

 

Как это сделать?

-Запустите программу.

-Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита.

-Нажмите по нему правой кнопкой мыши и выберите force delete.

-На запрос потверждения ответьте "да".

 

 

 

Пофиксить в HJT:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [lphctrqj0epa3] C:\WINDOWS\system32\lphctrqj0epa3.exe
O4 - HKLM\..\Run: [buritos] buritos.exe

 

 

 

Выполнить в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\system32\lphctrqj0epa3.exe');
TerminateProcessByName('C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe');
DeleteService('AlerterEventlog');
DeleteService('AlerterEventlogRemoteAccess');
DeleteService('AlerterEventlogWZCSVC');
DeleteService('ALGDnscache');
DeleteService('ALGEventlog');
DeleteService('COMSysAppBrowser');
DeleteService('CryptSvcmnmsrvcLmHosts');
DeleteService('DhcpRDSessMgr');
DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdm');
DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrv');
DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrvWmi');
DeleteService('DnscacheMSIServer');
DeleteService('HTTPFilterMSDTCFastUserSwitchingCompatibility');
DeleteService('ImapiServiceNetlogon');
DeleteService('ImapiServiceNetlogonAudioSrv');
DeleteService('mnmsrvcLmHosts');
DeleteService('mnmsrvcLmHostsERSvc');
DeleteService('mnmsrvcRpcLocator');
DeleteService('mnmsrvcRpcLocatorHTTPFilterMSDTCFastUserSwitchingCompatibility');
DeleteService('mnmsrvcRpcLocatorNetDDE');
DeleteService('mnmsrvcRpcLocatorNetDDEdsdm');
DeleteService('mnmsrvcRpcLocatorNetDDEdsdmNlamnmsrvcRpcLocatorNetDDEdsdm');
DeleteService('MSDTCFastUserSwitchingCompatibility');
DeleteService('MSIServerTermService');
DeleteService('NetDDEdsdmSpooler');
DeleteService('NetDDEdsdmSpoolerSpooler');
DeleteService('NetlogonBrowser');
DeleteService('NlamnmsrvcRpcLocatorNetDDEdsdm');
DeleteService('ProtectedStorageCOMSysApp');
DeleteService('RDSessMgrFastUserSwitchingCompatibility');
DeleteService('RemoteAccessERSvc');
DeleteService('RemoteAccessmnmsrvcRpcLocator');
DeleteService('RpcSsSchedule');
DeleteService('RpcSsWmdmPmSN');
DeleteService('ScheduleUPSRasAuto');
DeleteService('ScheduleUPSRasAutoAlerter');
DeleteService('seclogonNetDDEdsdm');
DeleteService('seclogonRpcSsWmdmPmSN');
DeleteService('ShellHWDetectionImapiService');
DeleteService('ShellHWDetectionImapiServiceProtectedStorage');
DeleteService('ShellHWDetectionRpcSs');
DeleteService('stisvcmnmsrvc');
DeleteService('TermServiceTlntSvr');
DeleteService('UPSRasAuto');
DeleteService('VSSNlamnmsrvcRpcLocatorNetDDEdsdm');
DeleteService('WebClientTrkWks');
DeleteService('winmgmtRasAuto');
DeleteService('winmgmtRasAutoDnscachemnmsrvcRpcLocatorNetDDEdsdm');
DeleteService('WZCSVCNetDDEdsdm');
DeleteService('Beep');
DeleteService('Msx17');
DeleteService('wlite');
DeleteFile('C:\WINDOWS\system32\Drivers\yfK06.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Hdtx70.sys');
DeleteFile('C:\WINDOWS\system32\wlite.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\blphctrqj0epa3.scr');
DeleteFile('c:\windows\system32\lphctrqj0epa3.exe');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\datmps.dll');
DeleteFile('C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe');
DeleteFile('srv.exe');
DeleteFile('Msx17.sys');
BC_ImportDeletedList;
BC_DeleteSvc('AlerterEventlog');
BC_DeleteSvc('AlerterEventlogRemoteAccess');
BC_DeleteSvc('AlerterEventlogWZCSVC');
BC_DeleteSvc('ALGDnscache');
BC_DeleteSvc('ALGEventlog');
BC_DeleteSvc('COMSysAppBrowser');
BC_DeleteSvc('CryptSvcmnmsrvcLmHosts');
BC_DeleteSvc('DhcpRDSessMgr');
BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdm');
BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrv');
BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrvWmi');
BC_DeleteSvc('DnscacheMSIServer');
BC_DeleteSvc('HTTPFilterMSDTCFastUserSwitchingCompatibility');
BC_DeleteSvc('ImapiServiceNetlogon');
BC_DeleteSvc('ImapiServiceNetlogonAudioSrv');
BC_DeleteSvc('mnmsrvcLmHosts');
BC_DeleteSvc('mnmsrvcLmHostsERSvc');
BC_DeleteSvc('mnmsrvcRpcLocator');
BC_DeleteSvc('mnmsrvcRpcLocatorHTTPFilterMSDTCFastUserSwitchingCompatibility');
BC_DeleteSvc('mnmsrvcRpcLocatorNetDDE');
BC_DeleteSvc('mnmsrvcRpcLocatorNetDDEdsdm');
BC_DeleteSvc('mnmsrvcRpcLocatorNetDDEdsdmNlamnmsrvcRpcLocatorNetDDEdsdm');
BC_DeleteSvc('MSDTCFastUserSwitchingCompatibility');
BC_DeleteSvc('MSIServerTermService');
BC_DeleteSvc('NetDDEdsdmSpooler');
BC_DeleteSvc('NetDDEdsdmSpoolerSpooler');
BC_DeleteSvc('NetlogonBrowser');
BC_DeleteSvc('NlamnmsrvcRpcLocatorNetDDEdsdm');
BC_DeleteSvc('ProtectedStorageCOMSysApp');
BC_DeleteSvc('RDSessMgrFastUserSwitchingCompatibility');
BC_DeleteSvc('RemoteAccessERSvc');
BC_DeleteSvc('RemoteAccessmnmsrvcRpcLocator');
BC_DeleteSvc('RpcSsSchedule');
BC_DeleteSvc('RpcSsWmdmPmSN');
BC_DeleteSvc('ScheduleUPSRasAuto');
BC_DeleteSvc('ScheduleUPSRasAutoAlerter');
BC_DeleteSvc('seclogonNetDDEdsdm');
BC_DeleteSvc('seclogonRpcSsWmdmPmSN');
BC_DeleteSvc('ShellHWDetectionImapiService');
BC_DeleteSvc('ShellHWDetectionImapiServiceProtectedStorage');
BC_DeleteSvc('ShellHWDetectionRpcSs');
BC_DeleteSvc('stisvcmnmsrvc');
BC_DeleteSvc('TermServiceTlntSvr');
BC_DeleteSvc('UPSRasAuto');
BC_DeleteSvc('VSSNlamnmsrvcRpcLocatorNetDDEdsdm');
BC_DeleteSvc('WebClientTrkWks');
BC_DeleteSvc('winmgmtRasAuto');
BC_DeleteSvc('winmgmtRasAutoDnscachemnmsrvcRpcLocatorNetDDEdsdm');
BC_DeleteSvc('WZCSVCNetDDEdsdm');
BC_DeleteSvc('Beep');
BC_DeleteSvc('Msx17');
BC_DeleteSvc('wlite');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

ПК перезагрузится. Логи повторите.

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...