Jump to content

RiC_VInfo

Members
  • Content Count

    246
  • Joined

  • Last visited

1 Follower

About RiC_VInfo

  • Rank
    Cadet
  1. Попробуйте такой скрипт выполнить - var AVZLogDir : string; begin AVZLogDir := GetAVZDirectory + 'exit\'; CreateDirectory(AVZLogDir); CheckSPI; SearchKeylogger; ExecuteSysChkEV; ExecuteSysChkIPU; ExecuteWizard('TSW', 1, -1, false); SetupAVZ('EvLevel=3'); SetupAVZ('ExtEvCheck=Y'); RunScan; ExecuteSysCheckEX(AVZLogDir+'readme.txt', $FFFFFFFF, true, 1+2+16+32); end. Должен получиться readme.txt в каталоге "Exit".
  2. Пофиксите в Hijack строки - R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.APEHA.ru R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing) F2 - REG:system.ini: Shell=explorer.exe, imsbr.exe O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0 После "Пуск"=>"Выполнить" команду sc delete MyWebSearchService После перезагрузки сотрите каталог C:\Program Files\MyWebSearch со всем содержимым, Вам больше оно не пригодится. После скачайте CatchMe - После запуска перейдите на 2-ю закладку и введите скрипт следующего содержания - Files to kill: C:\Users\Пользователь\AppData\Local\Temp\s2mk.exe и нажмите "Run" Перезагрузитесь, после перезагрузки запустите ещё раз CatchMe такой командой catchme.exe -p -s -r -l catchme.log повторите логи AVZ и Hijack и добавьте к ним catchme.log, посмотрим, что получится..
  3. Да, там всегда последняя версия.
  4. Не феномен, но весьма качественная программа. В качестве исторической справки - Combofix появился в июне 2006 в виде сборки из 5 мелких програм для удаления троянов - Look2Me, SurfSideKick 3, Qoologic, Dollar Revenue, Vundo. Сейчас конечно утилита знает и умеет удалть намного больше. Combofix обновляется, достаточно регулярно, в основном ежедневно, иногда 2-3 раза в день. Чтобы ответить придётся обьяснить немного устройство антивируса, антивирус в основном (если не брать в расчет проактивку, эвристику, sandbox и прочие "навороты") ловит и лечит только то, что знает, алгоритм такой - 1. Кто-то поймал вирус руками (к примеру на этом форуме). 2. Отправил образец вируса аналитикам. 3. Аналитики проанализировав вирус добавили в базу сигнатуру. 4. Антивирус пользователя обновился и получив эту сигнатуру начал ловить этот вирус. Combofix работает по принципу - ловля по именам файлов, тоесть чтобы поймать чего-то автору не обязательно иметь образец, достаточно знать имя файла. В Combofix есть большой список файлов со зловредными именами. Такой подход имеет свои плюсы и минусы, плюс в том что часто новый вирус имеет такое-же имя как и старый, минус - лечение в таком виде представляет фактически игру в русскую рулетку с компьютером пользователя, потому как нет никакой гарантии что удаляемый файл с зловредным именем действительно зловреден. Вывод из всего написанного очень простой - вирус попавшийся к Вам свежий, вернее свежая версия ещё не побывавшая у аналитиков, Собственно лог, который Вы выложили в первом топике это Prescan, и по нему сложно сказать что именно было удалено, но руткитов в нем нет.
  5. Поищите на зарубежных форумах человека с ником "sUBs" (если интересно), это автор утилиты, в кратце, Combofix - сборная солянка из нескольких десятков самописных фиксов для наиболее распространённых троянов, плюс catchMe для отлова Rootkit, ComboFix это огромный .bat файл содаржащий список из нескольких сотен имён файлов с алгоритмами их удаления, фактически это Antispyware.
  6. Я бы туда ещё и c:\program files\internet explorer\iexplore.exe добавил, для профилактики
  7. Ещё 2-ру способов нестандартного запуска - 1. Alt+Ctrl+Del -> Диспечер программ -> Файл -> Выполнить 2. На любом файле (типа Doc, Txt .... ) нажать правой кнопкой при этом удерживая Shift из выпавшего меню выбрать "Открыть с помошью ..." и выбираете нужную программу.
  8. Это кусок от Win32.Sality (он-же KuKu), сам файл по себе не заразный, отправьте его в комплекте с Totalcommander`ом на newvirus@касперский.ком
  9. Похоже я прав, отправьте iexplore.exe на newvirus@kaspersky.com и vms@drweb.com в архиве с паролем virus после замените этот файл чистым из дистрибутива Windows или, что лучше - из сервиспака. В дистрибутиве файл называется iexplore.ex_ это архив, вытащить его оттуда можно командой Expand iexplore.ex_ iexplore.exe. Из сервис-пака - для распаковки запустите сервис-пак, после того как он распакуется не закрывая инсталятора поищите в корневом каталоге директорию с бессмысленным названием к примеру - 2hsdhfa7d923b42783 в ней будут лежать нужные файлы, после того как скопируете файл установку сервиспака можно отменить.
  10. c:\program files\internet explorer\iexplore.exe загрузите на www.virustotal.com , результат проверки сюда и пошлите ещё копию на newvirus@ пускай аналитикм на нее тоже посмотрят.
  11. Costrat или PE386 это - Spambot, так-же в самом начале придушили - Zhelatin и Rbot, а PE386-го в тех логах небыло
  12. Немного скрипт поправлю ... begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\??\C:\WINDOWS\system32\wincom32.sys',''); QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA',''); DeleteFile('\??\C:\WINDOWS\system32\wincom32.sys'); DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:exe.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end. И в дополнение повторите логи AVZ, а так-же добальте к логам файл boot_clr.log из каталога AVZ.
  13. Размер жёсткого диска, набор кодовых страниц, список установленных приложений и ещё что-то не критичное для анализа, зато много чего полезного нет - списка аплеттов панели управления, беднее список автозагрузки, перехватов ядра, поиска Rootkit, поведенческого анализа, результатов проверки файла по базе безопасных ... ну и возможности что-то сделалать с найденным. Только Hash, и то при наличии базы безопасных, которой нет в открытом доступе или вообще в природе. Размер ничего не даёт по причине возможности модификации файла без изменения размера (вредноносный код вписывается в существующие пустые места, к примеру trojan.starter.180 по Web`у, KAV на момент поимки его не детектил), дата тоже, файл может быть восстановлен, обновлён и т.д. С помошью этой утилиты нельзя получить однозначный результат.
  14. Усложнять просто, упрощать сложно © ... Для эвристического анализа должны быть хоть какие-нибудь исходные данные, зачастую или их нет, или они недостоверны. В качестве "тренировки" могу предложить Вам поискать в этих логах ещё что-нибудь ... и дать какие-нибудь практические рекомендации человеку обратившимуся за помошью
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.