синий экран смерти после лечения CureIt

**Antonnio** · 12.09.2007, 19:28

ситуация следующая: шэф отдал ноут со словами что NOD32 постоянно выкидыват сообщения о заражении компа. Запустил CureIt? он нашел 6 или 7 вирусов и кучу файлов в temp, зараженных трояном, после перезагрузки системы, стал появляться синий экран смерти (что на нем написано посмотреть не могу так как он мигает очень быстро) и бросается в перезагрузку. На F8 не раегирует, поэтому в безопасный режим не попасть... Запустил с miniXP... Удалил папку ESET (были пару раз проблемы с NOD до этого, как раз с синим экраном). HiJackThis не запускается (выдает Run-time error "50003"). Прогнал стандартные скрипты и надеюсь на вашу помощь...

PS в корне c:\ удалил штук 6 файлов autorun с различными расширениями...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 12.09.2007, 19:36

В логах ничего непонятно.

Видна только система, с которой грузился.
У НоДа есть еще amon.sys. Он в папке drivers сидит.
Он часто последнее время выдает BSOD.

**Antonnio** · 12.09.2007, 20:19

спасибо, помогло, я думал что amon сидит в ESET...
загрузился, повторно выполнил скрипты, прилагаю...
из видимых траблов - заблокирован диспетчер задач

**drongo** · 12.09.2007, 20:37

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKUS\S-1-5-21-2434824367-2154331282-2641058567-1003\..\Run: [NeroFilterCheck] sрoоlsv.exe (User '?')
O4 - HKUS\S-1-5-21-2434824367-2154331282-2641058567-1003\..\Run: [Firewall auto setup] C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\winlogon.exe (User '?')
O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw
O20 - AppInit_DLLs: C:\WINDOWS\system32\win_5o.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('sрoоlsv.exe','');
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 QuarantineFile('C:\WINDOWS\system32\win_5o.dll','');
 QuarantineFile('C:\WINDOWS\SOUNDMAN.EXE','');
 QuarantineFile('C:\WINDOWS\system32\SHELL32.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
 QuarantineFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\Program Files\MSI\System Control Manager\MGKBHook.dll','');
 DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
 DeleteFile('C:\WINDOWS\system32\win_5o.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12399

3.вроде родной файлик C:\WINDOWS\system32\svchost.exe удалили - нужно с диска ХP вернуть на место.
4. Сделайте новые логи после лечения и присоедините к следующему сообщению

**Antonnio** · 12.09.2007, 21:40

вроде помогло... спасибо. высылаю карантин и новые логи... вроде AVZ на что-то там еще ругается...

Файл сохранён как 070912_124127_virus_46e824c7b4b23.zip

просканил ad-aware с последними базами - нашел Win32.TrojanDownloader.Small в 32 обьектах...

**drongo** · 12.09.2007, 22:12

временные файлы почистить, там пинчи- воруют пароли

Менять пароли, если успеете.
можно использовать ccleaner. http://soft.softodrom.ru/ap/p5628.shtml только при установке снять галку с установки тулбара.

C:\Program Files\MSI\System Control Manager\MGKBHook.dll- сами ставили? икарус говорит троян , меняющий стартовую страницу. ждём ответа аналитиков

какой именно файл нашёл adaware ?
сделать лог hijack this.

Добавлено через 11 минут

C:\WINDOWS\system32\svshost.dll-что делает в автозапуске- для меня загадка, в карантин он не попал- попробуйте руками запаковать в zip с паролем virus

**Antonnio** · 14.09.2007, 11:15

извиняюсь за задержку в ответе, сидели вчера без инета...
почистил CCleaner-ом temp
MSI насколько я понял какая-то служебная прога, ноут был куплен уже с ней...
лог в HiJackThis прикрепляю...
файл virus тут прикрепить или закачать черз какую форму или по почте отправить?

да, еще... повторное сканирование Ad-Aware ничего не нашло, но в процессе сканирования NOD ругнулся пару раз на Win32/Nuwar.Gen

**PavelA** · 14.09.2007, 11:28

Профиксить:

Код:

F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)

Затем выполнить скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('msupdate');
 BC_Activate;
 RebootWindows(true);
end.

Я бы еще профиксил:

Код:

O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

или просто деинсталлировал PartyPoker.