[Лог!] После атаки Packed.Win32.Klone.bj

[dimdeposit]

после атаки Packed.Win32.Klone.bj и другими паразитами-заразами, перестал работать каспер, в процессах есть а в треи нет, - т.е. нарушина блокировкой зловреда! самое интерестное логи смог сделать только в safemode, так как зависало AVZ4, более интересннее как сделал первый лог и перезагрузился каспер не загрузился - а на втором логе AVZ4 опять завис, в safemode опять сделал и второй лог и лог от HijackThis, опять перезагрузился чтоб отправить и - :blink:О_о диво каспер заработал! посмотрите логи - может чтоб до конца убить зловреда надо выполнить скрипт в AVZ! за ранее благодарен!!

 

дико извеняюсь не туда написал, можно перенести тему в раздел "Удаление вирусов"!

Сообщение от модератора C. Tantin

Ничего страшного, тема перенесена из раздела "Компьютерная помощь"

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 23 февраля, 2009 пользователем C. Tantin

[C. Tantin]

Если антивирус заработал - обновите базы и выполните полную проверку. А логи посмотрят хэлперы.

[dimdeposit]

етъ понятно, сапасибо! :blink: ждем-с

 

многоуважаемые хелперы, при загрузки компа утром - касп опять не воден в треи - гад живет, так что жду скрипт, без него помойму ни как!

Изменено 24 февраля, 2009 пользователем dimdeposit

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ctasys.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('digeste.dll');
DeleteFile('ctasys.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В письме укажите ссылку на тему.

 

 

2.Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

 

Сделайте новый комплект логов.

[dimdeposit]

Скрипт помог спасибо, а далее -----

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

- этот скрипт написан с ошибкой, но я так понял он для того что б сделать "quarantine.zip" - сделаю при помощи тотала

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В письме укажите ссылку на тему.

 

здесь обычно указывают адрес касперского для новых вирусов, а это какой-то страннный, так что ни знаю - а после прочтения подписи ника вообще боялся скрипты выполнять! :blink: пугающая очень она!

 

2.Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

 

пофиксить не удалось - нет записи, иль я не понял как это делать!?!

 

Сделайте новый комплект логов.

 

логи отсылаю, и PS мне конечно quarantine.zip не жалко но почему майл странный, и я так понимаю вы не из хелперов, иль модератор и хелпер - это одно и тоже? а так вообще еще раз сапасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 24 февраля, 2009 пользователем MedvedevUnited
Поправил тег цитирования

[MedvedevUnited]

- этот скрипт написан с ошибкой, но я так понял он для того что б сделать "quarantine.zip" - сделаю при помощи тотала

Ошибка в слове Quarantine:

 

begin
CreateQuarantineArchive(GetAVZDirectory+'quarantine.zip');
end.

[dimdeposit]

Ошибка в слове Quarantine:

 

begin
CreateQuarantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

понятно, а тотолом запаковать не пошло бы и истчо на вопрос о хелперах и про адрес не ответил, - боятся мне отсылать файл иль нет? :blink:

 

и напугала мне эта фраза: " Никакого отношения к ЛК не имею. Обычный пользователь. Притензии к ЛК по поводу моих советов прошу не предъявлять. Следовать моим советам или нет - решайте сами."

Изменено 24 февраля, 2009 пользователем dimdeposit

[INC®]

боятся мне отсылать файл иль нет?

Не бойтесь, отсылайте спокойно.

Изменено 24 февраля, 2009 пользователем INC®

[dimdeposit]

begin

CreateQuarantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

опять где т о ошибочка пишет - позиция 2:24

 

Не бойтесь, отсылайте спокойно.

 

интересно и зачем это ему? :blink:

Изменено 24 февраля, 2009 пользователем dimdeposit

[MedvedevUnited]

Прошу прощения, в срипте AVZ должно быть написано именно так:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Я в данном случае был не прав. Вы пробовали этот скрипт запускать изначально или сделали вывод о его ошибочности на основании написания слова Qurantine?

Изменено 24 февраля, 2009 пользователем MedvedevUnited

[dimdeposit]

Прошу прощения, в срипте AVZ должно быть написано именно так:

 

begin
Create[b]Qurantine[/b]Archive(GetAVZDirectory+'quarantine.zip');
end.

 

Я в данном случае, был не прав. Вы пробовали этот скрипт запускать изначально или сделали вывод о его ошибочности на основании написания слова Qurantine?

 

а там есть проверка на синтаксис, да и при запуске ругается сразу, на другие вопросы мне в краце кто нибуть ответит, не зря у меня под ником стоит "новичёк" - с нашими то вирусо писателями с вами много придется работать :blink:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

нееее мужики вы издеваетесь чтоли - опять ошибка - позиция 2:10

[Apollon]

а там есть проверка на синтаксис

нееее мужики вы издеваетесь чтоли - опять ошибка - позиция 2:10

begin
// Создание архива с содержимым карантина за текущий день
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

пофиксить не удалось - нет записи, иль я не понял как это делать!?!

значит данные строчки были пофиксины во время работы AVZ

Изменено 24 февраля, 2009 пользователем User

[dimdeposit]

 

begin
// Создание архива с содержимым карантина за текущий день
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

значит данные строчки были пофиксины во время работы AVZ

 

опять Ошибка скрипта: '.' expected, позиция [5:1]

[Apollon]

опять Ошибка скрипта: '.' expected, позиция [5:1]

Предлагаю запустить ОС в безопасном режиме и попробывать выполнить данный скрипт, и повоторите логи - по моему зараза еще есть

[dimdeposit]

Предлагаю запустить ОС в безопасном режиме и попробывать выполнить данный скрипт, и повоторите логи - по моему зараза еще есть

а как лучше все бросить у меня просто каспер на макс проверяет 40% "мой комп" и делать логи, иль завтра выложить

 

а еще 2-е логи я выкладывал ни кто и не посмотрел, как подозреваете що есть зараза?

Изменено 24 февраля, 2009 пользователем dimdeposit