Вот пока лог RootRepal, может нужен еще для четкости всей картины...
LogRootRepal.txt 55,49К
45 Скачано раз
Не запускается планировщик
Автор
nikita800
, мар 25 2009 23:43
149 ответов в этой теме
#81
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 19:40
Ок, сейчас сделаю всё и доложу обстановку.
Вот пока лог RootRepal, может нужен еще для четкости всей картины...
LogRootRepal.txt 55,49К
45 Скачано раз
Вот пока лог RootRepal, может нужен еще для четкости всей картины...
LogRootRepal.txt 55,49К
45 Скачано раз
#82
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 01 Апрель 2009 - 19:47
Перед логами нужно было почистить темпыОк, сейчас сделаю всё и доложу обстановку.
Вот пока лог RootRepal, может нужен еще для четкости всей картины...
-------------------------
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\aujasnkj.sys
C:\WINDOWS\System32\Drivers\a16t5gy0.SYS
А вот здесь вообще не нравится
Name:
Image Path:
Address: 0xF853A000 Size: 98304 File Visible: No
Status: -
И RKU там там что-то видит....
Лог GMER давайте
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#83
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 20:14
a16t5gy0.SYS не нашел, включал показ скрытых файловC:\WINDOWS\System32\Drivers\a16t5gy0.SYS
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\BYhk8KHo.sys
на вирустотал
BYhk8KHo.sys тоже не нашел, но есть похожий hGu8YnFX.dll
http://www.virustotal.com/ru/analisis/5cba...929747e1f652fb1 (1 результат из 40)
Есссс! Обновление работает! Если нажать ПКМ на значке--Обновление, то загружаются базы. Обновился до последней. Всего вирусных записей: 520229
А вот Dr.Web Update в Назначенных заданиях не работает. Как и на первой странице этой темы пишет что мол невозможно запустить службу
Ну и Инструменты--Планировщик тоже не работает, скриншот того что пишет тоже на первой странице этой темы.
Есть лог еще
LogGMER.log 136,67К
65 Скачано раз
#84
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 01 Апрель 2009 - 20:19
G:\WINDOWS\SYSTEM32\Drivers\a16t5gy0.SYS -Этот файл есть...Его нужно скопировать GMER или с помощью сканера drweb
http://wiki.drweb.com/index.php/Скрытые_процессы
P.S.
hGu8YnFX.dll -это служебный файлик курилки.
ИМХО можно удалять все строчки содержащие "Debugger"="ntsd" в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Но только "Debugger"="ntsd" , остальные не трогать.
http://wiki.drweb.com/index.php/Скрытые_процессы
P.S.
hGu8YnFX.dll -это служебный файлик курилки.
ИМХО можно удалять все строчки содержащие "Debugger"="ntsd" в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Но только "Debugger"="ntsd" , остальные не трогать.
Сообщение было изменено mrbelyash: 01 Апрель 2009 - 20:23
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#85
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 20:20
Перед логами нужно было почистить темпыОк, сейчас сделаю всё и доложу обстановку.
Вот пока лог RootRepal, может нужен еще для четкости всей картины...
-------------------------
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\aujasnkj.sys
C:\WINDOWS\System32\Drivers\a16t5gy0.SYS
А вот здесь вообще не нравится
Name:
Image Path:
Address: 0xF853A000 Size: 98304 File Visible: No
Status: -
И RKU там там что-то видит....
Лог GMER давайте
Я не нахожу этих файлов
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\aujasnkj.sys
C:\WINDOWS\System32\Drivers\a16t5gy0.SYS
А как темп чистить, файлы многие не удаляются оттуда.
#86
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 01 Апрель 2009 - 20:22
nikita800
regedit.exe запускается, как я понял.
- загрузите файл IFEO-repaired.zip, распакуйте IFEO-repaired.reg
- запустите редактор реестра, удалите целиком ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- импортируйте IFEO-repaired.reg (двойным кликом мыши должно запуститься).
- рестарт, посмотрите что в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
IFEO_repaired.zip 3,78К
294 Скачано раз
regedit.exe запускается, как я понял.
- загрузите файл IFEO-repaired.zip, распакуйте IFEO-repaired.reg
- запустите редактор реестра, удалите целиком ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- импортируйте IFEO-repaired.reg (двойным кликом мыши должно запуститься).
- рестарт, посмотрите что в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
IFEO_repaired.zip 3,78К
294 Скачано раз
#87
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 20:32
Строчки удаляю, их там много ))) удаляю именно "Debugger"="ntsd"G:\WINDOWS\SYSTEM32\Drivers\a16t5gy0.SYS -Этот файл есть...Его нужно скопировать GMER или с помощью сканера drweb
http://wiki.drweb.com/index.php/Скрытые_процессы
P.S.
hGu8YnFX.dll -это служебный файлик курилки.
ИМХО можно удалять все строчки содержащие "Debugger"="ntsd" в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Но только "Debugger"="ntsd" , остальные не трогать.
Тут вот какая загвоздка. ФАК немного неточно написан.
http://wiki.drweb.com/index.php/Скрытые_процессы
Создать в каталоге антивируса Drweb текстовый файл, например filelist.txt
Невозможно там создать ничего! Включена самозащита! Это получается её отключать надо?!!!
#88
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 20:34
Это что даст? Удаление "ntsd -d" строчек автоматически? Если да, то я уже почти вручную их добил.nikita800
regedit.exe запускается, как я понял.
- загрузите файл IFEO-repaired.zip, распакуйте IFEO-repaired.reg
- запустите редактор реестра, удалите целиком ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- импортируйте IFEO-repaired.reg (двойным кликом мыши должно запуститься).
- рестарт, посмотрите что в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
#89
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 01 Апрель 2009 - 20:34
Угу,писалось для предыдущей версии антивирусаСтрочки удаляю, их там много ))) удаляю именно "Debugger"="ntsd"G:\WINDOWS\SYSTEM32\Drivers\a16t5gy0.SYS -Этот файл есть...Его нужно скопировать GMER или с помощью сканера drweb
http://wiki.drweb.com/index.php/Скрытые_процессы
P.S.
hGu8YnFX.dll -это служебный файлик курилки.
ИМХО можно удалять все строчки содержащие "Debugger"="ntsd" в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Но только "Debugger"="ntsd" , остальные не трогать.
Тут вот какая загвоздка. ФАК немного неточно написан.
http://wiki.drweb.com/index.php/Скрытые_процессы
Создать в каталоге антивируса Drweb текстовый файл, например filelist.txt
Невозможно там создать ничего! Включена самозащита! Это получается её отключать надо?!!!
....Скопируйте пока GMER'ом
Там еще нужно было имена антивирусных сканеров и мониторов погрохать....Просто их многоватенько тамЭто что даст? Удаление "ntsd -d" строчек автоматически? Если да, то я уже почти вручную их добил.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#90
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 01 Апрель 2009 - 20:40
Там очень много лишних ключей, созданных вирусом. Хотите удалять ручками - пожалуйста. Но в конце должно получиться как в приложеном мной файлеЭто что даст? Удаление "ntsd -d" строчек автоматически? Если да, то я уже почти вручную их добил.
#91
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 01 Апрель 2009 - 20:47
nikita800
кроме gmer пробуйте скопировать скрытые файлы так
- скачать drw-copy.zip, достать, запустить drw-copy.bat
- приложить сюда файл c:\test\copy-result.txt
drw_copy.zip 400байт
46 Скачано раз
кроме gmer пробуйте скопировать скрытые файлы так
- скачать drw-copy.zip, достать, запустить drw-copy.bat
- приложить сюда файл c:\test\copy-result.txt
drw_copy.zip 400байт
46 Скачано раз
Сообщение было изменено userr: 01 Апрель 2009 - 21:12
файл забыл...
#92
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 21:14
Через сканер Др.Веб мне не удалось получить в карантине эти файлы.
Делал всё по инструкции, на диске С создал filelist.txt, туда записал
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\aujasnkj.sys
C:\WINDOWS\System32\Drivers\a16t5gy0.SYS
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\BYhk8KHo.sys
Через Пуск--Выполнить запустил
"C:\Program Files\DrWeb\drweb32w.exe" /copy:С:\filelist.txt
сканер проверил, но в папке Инфектед ничего не появилось.
Руткитом сделал дампы, отправил сюда
http://www.virustotal.com/ru/analisis/02e7...9715b3015bb3a63
http://www.virustotal.com/ru/analisis/d62b...ab9d5503f6bd54e
http://www.virustotal.com/ru/analisis/76e1...f011b51001248d8
http://www.virustotal.com/ru/analisis/c8dc...ee177c305a2c9a5
http://www.virustotal.com/ru/analisis/72bb...11853b963d470cf
http://www.virustotal.com/ru/analisis/056d...165b48ae25aa687
http://www.virustotal.com/ru/analisis/6b39...e694631969dcf2f
http://www.virustotal.com/ru/analisis/6d4d...e354f7218ef46d8
http://www.virustotal.com/ru/analisis/02e7...9715b3015bb3a63
Отправлю их в вируслаб, пусть смотрят, но результат везде нулевой.
Делал всё по инструкции, на диске С создал filelist.txt, туда записал
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\aujasnkj.sys
C:\WINDOWS\System32\Drivers\a16t5gy0.SYS
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\BYhk8KHo.sys
Через Пуск--Выполнить запустил
"C:\Program Files\DrWeb\drweb32w.exe" /copy:С:\filelist.txt
сканер проверил, но в папке Инфектед ничего не появилось.
Руткитом сделал дампы, отправил сюда
http://www.virustotal.com/ru/analisis/02e7...9715b3015bb3a63
http://www.virustotal.com/ru/analisis/d62b...ab9d5503f6bd54e
http://www.virustotal.com/ru/analisis/76e1...f011b51001248d8
http://www.virustotal.com/ru/analisis/c8dc...ee177c305a2c9a5
http://www.virustotal.com/ru/analisis/72bb...11853b963d470cf
http://www.virustotal.com/ru/analisis/056d...165b48ae25aa687
http://www.virustotal.com/ru/analisis/6b39...e694631969dcf2f
http://www.virustotal.com/ru/analisis/6d4d...e354f7218ef46d8
http://www.virustotal.com/ru/analisis/02e7...9715b3015bb3a63
Отправлю их в вируслаб, пусть смотрят, но результат везде нулевой.
#93
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 01 Апрель 2009 - 21:20
C:\DOCUME~1\NIKITA~1\LOCALS~1\Temp\aujasnkj.sys ?
Этож сокращенный путь..счас полный напишу
C:\Documents and Settings\NIKITA800\Local Settings\Temp\aujasnkj.sys
Этож сокращенный путь..счас полный напишу
C:\Documents and Settings\NIKITA800\Local Settings\Temp\aujasnkj.sys
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#94
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 01 Апрель 2009 - 21:22
Вас ведь просили gmer'ом. И перестаньте уже RootkitUnhooker называть руткитомРуткитом сделал дампы, отправил сюда
Пробуйте drw-copy.bat
#95
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 21:23
Там много файлов появилось. Всё в архиве.nikita800
кроме gmer пробуйте скопировать скрытые файлы так
- скачать drw-copy.zip, достать, запустить drw-copy.bat
- приложить сюда файл c:\test\copy-result.txt
Logsdrw_copy.bat.rar 2,99К
41 Скачано раз
#96
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 01 Апрель 2009 - 21:31
Достаточно было одного, который я просил. Либо странных файлов реально нет (скорее всего), либо DrWeb их не видит.Там много файлов появилось. Всё в архиве.
C:\Program Files\DrWeb\Infected.!!!01.04.2009 22:11 <DIR> .01.04.2009 22:11 <DIR> ..01.04.2009 21:57 <DIR> a16t5gy024.03.2009 15:01 232 a16t5gy0.SYS01.04.2009 21:55 <DIR> aujasnkj.sys01.04.2009 21:48 160 640 dumped.sys01.04.2009 21:48 5 248 dumped1.sys01.04.2009 21:48 160 640 dumped2.sys01.04.2009 21:49 221 184 dumped3.sys01.04.2009 21:52 221 184 Dumped4.sysОткуда дампы в C:\Program Files\DrWeb\Infected.!!! ?? Вы их сами туда сохраняли через RkU ?
#97
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 21:31
Я не понял как GMERом копировать скрытые процессы.Вас ведь просили gmer'ом. И перестаньте уже RootkitUnhooker называть руткитомРуткитом сделал дампы, отправил сюда
Пробуйте drw-copy.bat
http://savepic.ru/530747.png
меню "Copy" не активно, и меню "dump module" не активно
#98
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 21:34
Достаточно было одного, который я просил. Либо странных файлов реально нет (скорее всего), либо DrWeb их не видит.Там много файлов появилось. Всё в архиве.
C:\Program Files\DrWeb\Infected.!!!01.04.2009 22:11 <DIR> .01.04.2009 22:11 <DIR> ..01.04.2009 21:57 <DIR> a16t5gy024.03.2009 15:01 232 a16t5gy0.SYS01.04.2009 21:55 <DIR> aujasnkj.sys01.04.2009 21:48 160 640 dumped.sys01.04.2009 21:48 5 248 dumped1.sys01.04.2009 21:48 160 640 dumped2.sys01.04.2009 21:49 221 184 dumped3.sys01.04.2009 21:52 221 184 Dumped4.sysОткуда дампы в C:\Program Files\DrWeb\Infected.!!! ?? Вы их сами туда сохраняли через RkU ?
Да, это файлы, которые я скопировал через Руткий, ой простите, через RkU
Ссылки на вирустотал на эти файлы я давал выше.
#99
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 21:38
Сделал так, пойду на перезагрузку.nikita800
regedit.exe запускается, как я понял.
- загрузите файл IFEO-repaired.zip, распакуйте IFEO-repaired.reg
- запустите редактор реестра, удалите целиком ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- импортируйте IFEO-repaired.reg (двойным кликом мыши должно запуститься).
- рестарт, посмотрите что в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
#100
nikita800
-
- Posters
- 107 Сообщений:
Member
Отправлено 01 Апрель 2009 - 21:48
Кто-нибудь может рассказать, как запустить Планировщик и эту автоматическую службу обновлений???
http://savepic.ru/555322.png — это при нажатии на Выполнить по правому клику на службе Dr.Web Update
http://savepic.ru/553274.png — это при нажатии на Инструменты--Планировщик
Ну нет у меня вирусов, а если и есть, то Др.Веб их не видит!
http://savepic.ru/555322.png — это при нажатии на Выполнить по правому клику на службе Dr.Web Update
http://savepic.ru/553274.png — это при нажатии на Инструменты--Планировщик
Ну нет у меня вирусов, а если и есть, то Др.Веб их не видит!
