Проблема-1

[SonarMaster]

Собственно, заболел комп, куча троянов, AVZ убил почти все, но вот несколько остались и никак удаляться не хотят, стало быть хэлп, логи сканов прилагаются...

P.S. Попытка выполнить стандартный скрипт лечения/карантина вызвала перезагрузку компа, его выполнить удалось только в сейф-моде...
После его сбор информации и скрипт хайджека были выполнены в обычном режиме.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Uaa12', 'Start');
 RebootWindows(true); 
end.

После перезагрузки поищите вручную файл Uaa12.sys и пришлите его по правилам.

Добавлено через 13 минут

Ну вот, навстречу работали. Я свой скрипт удалил, и Павел тоже
Тогда возвращаю свой:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\adtool.dll','');
 QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
 QuarantineFile('C:\WINDOWS\system32\SysCVMS.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\system32\mstscex.dll','');
 QuarantineFile('C:\WINDOWS\system32\y1.dll','');
 QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\vedxga5me3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Baqn60.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Allu74.sys');
BC_ImportALL;
BC_QrSvc('ICF');
BC_QrSvc('LicCtrlService');
BC_DeleteSvc('ICF');
BC_DeleteSvc('LicCtrlService');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки - карантин пришлите по правилам.

[SonarMaster]

Файл Uaa12.sys вручную и через поиск не находится...
Выполнение скрипта сходу вызвало перезагрузку Виндовс, сейчас попытаюсь выполнить его же в сейф-моде...

[Bratez]

Вручную - имеется ввиду в AVZ: Сервис - Поиск файлов на диске.

[SonarMaster]

выслал

[Bratez]

1. Скачайте программу WinSockxpFix.

2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\mstscex.dll');
 DeleteFile('\SystemRoot\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
 DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
 DelSPIByFileName('y1.dll',true);
 BC_DeleteFile('C:\WINDOWS\system32\y1.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.

Компьютер перезагрузится.

3. Если нарушится связь с локалкой и/или интернетом, запишите настройки сетевых подключений и используйте скачанную программу, потом при необходимости введите настройки заново.

4. Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O2 - BHO: HtmlView Helper - {E496675D-472B-4A82-A4F7-2EBBE5DA6754} - C:\WINDOWS\system32\adtool.dll (file missing)

5. Winlogon.exe у вас патченный, надо восстанавливать из дистрибутива. Вариант - попробовать вылечить антивирусом Касперского.

6. Сделайте новые логи.

[SonarMaster]

а как правильно восстановить винлогон с дистрибутива?

[Bratez]

1. Загрузить консоль восстановления.
2. Я обычно выполняю последовательность команд:

C:\Windows> cd system32
C:\Windows\system32> del winlogon.exe
C:\Windows\system32> D:
D:\> cd i386 (или путь к папке i386, если он более длинный)
D:\i386> copy winlogon.ex_ C:
D:\i386> C:
C:\Windows\system32> expand winlogon.ex_ winlogon.exe
C:\Windows\system32> exit

D соответствует букве CD дисковода.

По идее можно было короче - перейти в i386 и сделать expand в папку назначения C:\Windows\system32, но на практике почему-то не срабатывало, а так 100% надежно.

[SonarMaster]

все сделал, как надо до того этапа, когда надо было выполнить команду ехраnd , при попытке выполнение пишет - не удается распаковать файл

[Bratez]

Оригинал удалился?
Файл точно скопировался куда надо?
На С: перейти не забыли?

После копирования, стоя в папке C:\windows\system32 выдайте
dir winlogon.*
должен показать winlogon.ex_

[SonarMaster]

я все сделал, как было написано, и даже дистрибутив менял, та же фигня, не удается распаковать и все тут, в итоге тупо rename сделал winlogon.ex_ на winlogon.exе
вроде загрузилась машина, логи прикреплю уже завтра, рабдень закончен )

[Bratez]

rename сделал winlogon.ex_ на winlogon.exе
вроде загрузилась машина,

Забавно, в упакованном виде все равно работает!
Ну что ж, не мытьем, так катаньем...
Ждем логов, интересно жив ли еще Uaa12.

[SonarMaster]

Итак, выкладываю логи...
Как и в начале темы, при попытки выполнить стандартный скрипт лечения машина перегружается (как раз проходит красные строки о Uaa112, пишет, что функция восстановлена по моему, и тут же перегружается), пришлось первый лог получать в сейф моде...
Зато исчезли сообщения постоянные о трех вирусах, которые никак не удавалось излечить...
Вообщем...

[PavelA]

Все звери на старых местах в логе AVZ.

Выполнить скрипт в Safe Mode:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\mstscex.dll');
 DeleteFile('\SystemRoot\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
 DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
 DelSPIByFileName('y1.dll',true);
 BC_DeleteFile('C:\WINDOWS\system32\y1.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.

Если скрипт пройдет, то после сделать новые логи.

[SonarMaster]

такой же скрипт мне братец советовал выполнить, и выполнял уже, правда не в сейв-моде )

[PavelA]

Наверное, поэтому все живы и остались. Хотя можно провериться след. образом:
Поискать в AVZ y1.dll и прочих из этого скрипта. Если не найдутся, то это только следы в реестре, но мне кажется, что они все-таки живы.

[Bratez]

Видимо, скрипт не сработал по той же причине, что и лог лечения/карантина. Сейчас напишу по-другому...

Добавлено через 9 минут

1. Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('protect');
 BC_DeleteFile('C:\WINDOWS\system32\mstscex.dll');
 BC_DeleteFile('C:\WINDOWS\system32\y1.dll');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 BC_DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки есть вероятность, что система сильно затупит при запуске, ничего страшного, просто подождите минут 5.

2. Запустите программу WinSockxpFix и нажмите кнопочку Fix.
После того, как она отработает, перезагрузитесь.

3. Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [SysCVMS.exe] C:\WINDOWS\system32\SysCVMS.exe

4. Попробуйте выполнить маленький скрипт из сообщения #2 и поискать этот Uaa12.sys.

5. Сделайте такой лог.

[SonarMaster]

Значит всё сделал, как было написано, итоги таковы:
1. Uaa112.sys таки появился, и я его затащил в карантин, который заархивировал и пересылаю вам.
2. Лог который требовалось сделал и его прикрепляю

Ну и еще при стандартной проверке авз наконец-то исчезли те, строки красные про "тра-та-та машинный код джамп уаа" и т.п.

[Bratez]

Присланный файл детектируется Касперским как Rootkit.Win32.Agent.ea
Выполните такой скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
 QuarantineFile('c:\windows\system32\msvc32.dll','');
 DeleteFile('c:\windows\system32\msvc32.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\Uaa12.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите новый карантин по правилам (думаю, последний).

[SonarMaster]

выслал )