Интернет

Pili · Отправлено: **15:52, 29-09-2008** | #11

RomaRS, Outpost (возможно он и блокирует скрипт) и KIS2009 скорее всего конфликтуют, попробуйте деинсталлировать Outpost, в KIS2009 своего функционала достаточно. Не хватает ещё одного лога virusinfo_syscheck.zip. Вы с помощью CureIT систему проверяли? Если нет - проведите полное сканирование с помощью cureit в безопасном режиме.
Отключите восстановление системы! Выполните скрипт (отключите на время все защитные программы)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Ood08ogepw', 4);
 QuarantineFile('C:\Program Files\HACKER\CrackersKit\Rebuilding\ImpRec\Plugin\aspr1.dll','');
 QuarantineFile('C:\Program Files\AUTORUN\Autorun Creator\dfj432.dll','');
 QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ood08ogepw.sys','');
 QuarantineFile('C:\WINDOWS\System32\HookDLL.DLL','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\Ood08ogepw.sys');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteService('Ood08ogepw');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Ood08ogepw');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.

Файл quarantine2.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Если не получится, выполните скрипт без строчек

Цитата:

SearchRootkit(true, true);
SetAVZGuardStatus(True);

Если не получится, выполните тоже самое в безопасном режиме.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.
Повторите логи virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis

Tigr · Конфигурация компьютера

RomaRS, в папке ...:\WINDOWS\system32\drivers\etc найди файл hosts. Открой его с помощью блокнота и обрати внимание на все строки, в начале к-х не стоит признак комментария - #. Рекомендую в связке с антивирусом использовать антишпион. Например, Ad-Aware SE. Если не сможешь найти сам, отпишись в РМ, но быстрого ответа не обещаю.

Pili · Отправлено: **21:39, 29-09-2008** | #13

Tigr, c hosts файлом там всё нормально, если и было что-то в нем лишнее, сброшено скриптом поста 4, в KIS2009 есть свой антишпион (и доп. в Outpost), сначала удалим те зловреды, которые в логах есть.

RomaRS · Отправлено: **00:56, 30-09-2008** | #14

Со скриптом для AVZ всё те же проблемы. перепробовал все вышесказанное.

Лог от Malwarebytes' Anti-Malware 1.28

Код:

Malwarebytes' Anti-Malware 1.28
Версия базы данных: 1222
Windows 5.1.2600 Service Pack 3

30.09.2008 0:51:52
mbam-log-2008-09-30 (00-51-52).txt

Тип проверки: Быстрая
Проверено объектов: 58390
Прошло времени: 4 minute(s), 59 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 3
Заражено значений реестра: 0
Заражено параметров реестра: 2
Заражено папок: 0
Заражено файлов: 11

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\ebrn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\CSRSS.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SMSS.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\fbxrqtwn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcro4j0ec8a.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcro4j0ec8a.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcro4j0ec8a.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS\LSASS.EXE (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

RomaRS · Отправлено: **02:16, 30-09-2008** | #15

После проделанных выше операций сделал смог обновиться касперский. Сделал проверку, почистил CCleaner'ом, сайты открылись, тормоза интернета пропали. собственно, проблем пока не наблюдаю

остается интересным вопрос с библиотекой HookDLL и почему не работает скрипт))

А так, всем спасибо!

Pili · Отправлено: **08:32, 30-09-2008** | #16

RomaRS, HookDLL.DLL проверьте на virustotal.com
При запуске MBAM вы выбрали Тип проверки: Быстрая, перезапустите MBAM и выберите полную проверку, после окончания проверки выложите новый лог.
Если не работает скрипт в AVZ можно пойти другим путем.
1. Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту (RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.
2. Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
Не забудьте установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2)) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
- Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
- Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
3. Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, скопируйте текст из файлов log.txt и info.txt в следующее сообщение или запакуйте эти файлы и прикрепите архив.