Пропала сеть, изменилась кнопка Пуск, не работает буфео обмена

[baobab75]

Симптомы следующие: изменился дизайн кнопки Пуск, в панели задач не отображаются открытые окна. Исчезли сетевые подключения. Не работает буфер обмена.
Symantec находит Trojan Horse. KAV 5.xx обнаруживает файл msdnc6.exe, удаляет, после перезагрузки файл появляется.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe','');
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил.

Сделайте лог HijackThis.

[baobab75]

восстановление системы отключить не могу: "ошибка восстановления системы при включении/отключении ..." предлагает перегрузить и попробывать еще.

А.. Есть еще вторая машина, которая имеет те же симптомы. Юзер в отпуске. Машина включена. Симптомы возникли только сегодня утром..
добавляю 2 лога:

[drongo]

другая машина- другая тема и другие логи
логи должны быть сделаны из нормального режима, и обновить базы авз перед исследованием нужно.
перечитайте правила.
2 пункт я бы ещё сделал .

[baobab75]

файл отправил через кнопку "прислать запрошенные файлы". Получилось?

[Bratez]

explorer.exe под подозрением, отправлен в ЛК.

C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe
в карантин не попал - поищите его вручную (через AVZ).

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Больше ничего плохого не вижу.

[PavelA]

C:\WINDOWS\system32\DefLib.sys - хвостик болтается в реестре.
Зачистим:

Код:

begin
 setAVZGuardStatus(true);                                                
 DeleteFile('C:\WINDOWS\system32\DefLib.sys');
 BC_ImportDeletedList;
 BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
 BC_Activate;
 RebootWindows(true);
end.

[baobab75]

explorer.exe под подозрением, отправлен в ЛК.

C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe
в карантин не попал - поищите его вручную (через AVZ).

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\vertogradov.ok\Application Data\CcmExec.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Больше ничего плохого не вижу.

файл не нашел . пофиксил

Добавлено через 19 минут

C:\WINDOWS\system32\DefLib.sys - хвостик болтается в реестре.
Зачистим:
[code]begin
setAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_Activate;
RebootWindows(true);
end.

зачистил. обновил базы (предыдущие были от 02.09). запустил скрипт №3 "лечениея/карантина и сбора информации" жду результата. логи добавлю

[baobab75]

пока без изменений. все вышеназваные симптомы остались

[Bratez]

Проверьте, работают ли службы "Удаленный вызов процедур" и "Рабочая станция".

[baobab75]

удаленный вызов процедур не работает. при двойном щелчке или правая кнопка\свойства ничего не происходит (так же как и в других оснастках mmc). Запустить службу нельзя. Пишет что то ..помечена на удаление...
Службы рабочая станция вообще нет. Служб в списке зрительно - третья часть, запущеных - штук 7

[Bratez]

Скачайте на другом компьютере свежий CureIt, запишите его на CD и проверьте свой, запуская программу прямо с CD. Проверку сделать полную, а не только экспресс. Потом видимо придется переустановить Windows поверх вашей восстановлением.

Добавлено через 41 минуту

Пришел ответ насчет explorer.exe - вредоносный код не обнаружен.

[baobab75]

виндовс переустановил поверх. нужно было до утра запустить комп. НО...
есть еще один с такими же симптомами, хозяин которого еще неделю в отпуске. Продолжу завтра на нем. Может будут напутствия?

[Bratez]

Может будут напутствия?

Логи с того компа - в отдельную тему, будем смотреть.
Скрипты из этой темы там не применяйте.

[baobab75]

подскажите, после переустановки поверх Windows комп ожил, однако не удается запустить службу Сервер и, соответственно Обозреватель компьютеров. При попытке запустить службу Сервер вручную выдает:

"не удалось запустить службу Сервер ошибка 87 параметр задан не верно"

Добавлено через 16 минут

в журнале просмотр событий\система есть запись в момент старта службы при включении компа:
"В реестре отсутствует запись LanmanServer\Linkage"

что можно поправить?

[Bratez]

Экспортируйте в regedit'e ключ реестра
HKLM\System\CurrentControlSet\ Services\LanmanServer
Полученный reg-файл заархивируйте и прикрепите сюда.

[baobab75]

закачал. раздела Linkage там действительно нет

[Bratez]

Скопируйте код в текстовый файл с расширением .reg и импортируйте в реестр (двойной клик по файлу):

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Linkage]
"Bind"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,65,00,74,\
  00,62,00,69,00,6f,00,73,00,53,00,6d,00,62,00,00,00,5c,00,44,00,65,00,76,00,\
  69,00,63,00,65,00,5c,00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,00,63,00,70,\
  00,69,00,70,00,5f,00,7b,00,31,00,43,00,32,00,31,00,45,00,43,00,30,00,45,00,\
  2d,00,38,00,33,00,43,00,44,00,2d,00,34,00,35,00,31,00,41,00,2d,00,41,00,42,\
  00,41,00,31,00,2d,00,43,00,36,00,33,00,31,00,39,00,38,00,34,00,46,00,32,00,\
  30,00,38,00,34,00,7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,\
  00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,00,63,00,70,00,69,00,70,00,5f,00,\
  7b,00,39,00,34,00,43,00,38,00,35,00,35,00,31,00,43,00,2d,00,32,00,33,00,46,\
  00,43,00,2d,00,34,00,41,00,41,00,45,00,2d,00,42,00,41,00,42,00,31,00,2d,00,\
  34,00,37,00,45,00,41,00,38,00,32,00,32,00,37,00,43,00,37,00,37,00,33,00,7d,\
  00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,65,00,74,00,\
  42,00,54,00,5f,00,54,00,63,00,70,00,69,00,70,00,5f,00,7b,00,31,00,45,00,42,\
  00,34,00,44,00,37,00,37,00,42,00,2d,00,41,00,38,00,43,00,36,00,2d,00,34,00,\
  41,00,44,00,34,00,2d,00,42,00,43,00,36,00,42,00,2d,00,35,00,42,00,45,00,33,\
  00,42,00,31,00,34,00,33,00,35,00,46,00,44,00,37,00,7d,00,00,00,5c,00,44,00,\
  65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,\
  00,63,00,70,00,69,00,70,00,5f,00,7b,00,32,00,45,00,33,00,45,00,39,00,44,00,\
  37,00,45,00,2d,00,34,00,33,00,45,00,31,00,2d,00,34,00,33,00,31,00,32,00,2d,\
  00,39,00,39,00,42,00,32,00,2d,00,44,00,33,00,32,00,44,00,44,00,46,00,44,00,\
  44,00,30,00,34,00,41,00,44,00,7d,00,00,00,00,00
"Route"=hex(7):22,00,4e,00,65,00,74,00,62,00,69,00,6f,00,73,00,53,00,6d,00,62,\
  00,22,00,00,00,22,00,4e,00,65,00,74,00,42,00,54,00,22,00,20,00,22,00,54,00,\
  63,00,70,00,69,00,70,00,22,00,20,00,22,00,4e,00,64,00,69,00,73,00,57,00,61,\
  00,6e,00,49,00,70,00,22,00,00,00,00,00
"Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4c,00,61,00,6e,\
  00,6d,00,61,00,6e,00,53,00,65,00,72,00,76,00,65,00,72,00,5f,00,4e,00,65,00,\
  74,00,62,00,69,00,6f,00,73,00,53,00,6d,00,62,00,00,00,5c,00,44,00,65,00,76,\
  00,69,00,63,00,65,00,5c,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,\
  72,00,76,00,65,00,72,00,5f,00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,00,63,\
  00,70,00,69,00,70,00,5f,00,7b,00,31,00,43,00,32,00,31,00,45,00,43,00,30,00,\
  45,00,2d,00,38,00,33,00,43,00,44,00,2d,00,34,00,35,00,31,00,41,00,2d,00,41,\
  00,42,00,41,00,31,00,2d,00,43,00,36,00,33,00,31,00,39,00,38,00,34,00,46,00,\
  32,00,30,00,38,00,34,00,7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,\
  00,5c,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,76,00,65,00,\
  72,00,5f,00,4e,00,65,00,74,00,42,00,54,00,5f,00,54,00,63,00,70,00,69,00,70,\
  00,5f,00,7b,00,39,00,34,00,43,00,38,00,35,00,35,00,31,00,43,00,2d,00,32,00,\
  33,00,46,00,43,00,2d,00,34,00,41,00,41,00,45,00,2d,00,42,00,41,00,42,00,31,\
  00,2d,00,34,00,37,00,45,00,41,00,38,00,32,00,32,00,37,00,43,00,37,00,37,00,\
  33,00,7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4c,00,61,\
  00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,76,00,65,00,72,00,5f,00,4e,00,\
  65,00,74,00,42,00,54,00,5f,00,54,00,63,00,70,00,69,00,70,00,5f,00,7b,00,31,\
  00,45,00,42,00,34,00,44,00,37,00,37,00,42,00,2d,00,41,00,38,00,43,00,36,00,\
  2d,00,34,00,41,00,44,00,34,00,2d,00,42,00,43,00,36,00,42,00,2d,00,35,00,42,\
  00,45,00,33,00,42,00,31,00,34,00,33,00,35,00,46,00,44,00,37,00,7d,00,00,00,\
  5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4c,00,61,00,6e,00,6d,00,61,\
  00,6e,00,53,00,65,00,72,00,76,00,65,00,72,00,5f,00,4e,00,65,00,74,00,42,00,\
  54,00,5f,00,54,00,63,00,70,00,69,00,70,00,5f,00,7b,00,32,00,45,00,33,00,45,\
  00,39,00,44,00,37,00,45,00,2d,00,34,00,33,00,45,00,31,00,2d,00,34,00,33,00,\
  31,00,32,00,2d,00,39,00,39,00,42,00,32,00,2d,00,44,00,33,00,32,00,44,00,44,\
  00,46,00,44,00,44,00,30,00,34,00,41,00,44,00,7d,00,00,00,00,00

По идее должно помочь, хотя на 100% не уверен...

[PavelA]

http://www.mb13.ru/winfaq/winnt/712.htm
- это случай, когда неудачно деинсталлировали TCP/IP
М.б. Вам тоже поможет.
Есть еще вариант: переустановить драйвера сетевой карты.

К Lanman еще куча параметров привязана, может и их не хватает.

[baobab75]

Bratez, спасибо. службы запустились. Посмотрю на дальнейшее поведение компьютера. Возможно воспользуюсь советом PavelA,
Спасибо всем за помощь!