Здравствуйте!
Вот столкнулся с такой дрянью... в сейф моде вычистить с помощью AVZ не удается прикрепляю логи
если потребуется могу и вирусы
Здравствуйте!
Вот столкнулся с такой дрянью... в сейф моде вычистить с помощью AVZ не удается прикрепляю логи
если потребуется могу и вирусы
1. Выполните скрипт в AVZ:
2. Сделайте дополнительный лог в безопасном режиме:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\Drivers\Xbq26.sys',''); DeleteFile('C:\Windows\System32\Drivers\Xbq26.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
http://virusinfo.info/showthread.php?t=10387
и лог HijackThis.
I am not young enough to know everything...
сделал все как просили
1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить результат тут avz_log.txt
2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол результат тут avz_sysinfo.zip
ну и хайджкек
заметил такую тонкость грузится только в safe mode с сетевыми драйверами
при этом в момент загрузки пишет нажмите ESC чтоб не загружать драйвер UP55bus.sys, если отказаться(тоесть не грузить драйвер этот) то система перед окном входа уходит в ребут
Добавлено через 8 минут
и еще пробовал восстановить систему с помощью sfc /scannow в логах пишет что нашел испоренные файлы без цифровой подписи
Тип события: Уведомление
Источник события: Windows File Protection
Категория события: Отсутствует
Код события: 64020
Дата: 17.10.2007
Время: 1:13:11
Пользователь: Н/Д
Компьютер: МАСИМКА
Описание:
Защита файлов Windows при сканировании обнаружила, что системный файл c:\windows\system32\photowiz.dll имеет неправильную подпись. Этот файл восстановлен до исходной версии для обеспечения стабильности системы. Версия системного файла 5.1.2600.2180.Тип события: Уведомление
Источник события: Windows File Protection
Категория события: Отсутствует
Код события: 64004
Дата: 17.10.2007
Время: 1:01:25
Пользователь: Н/Д
Компьютер: МАСИМКА
Описание:
Не удалось восстановить исходную, правильную версию защищенного системного файла c:\windows\system32\winlogon.exe. Номер версии неправильного файла 5.1.2600.2180 Конкретный код ошибки: 0x800b0100 [В этом объекте нет подписи.
].Тип события: Уведомление
Источник события: Windows File Protection
Категория события: Отсутствует
Код события: 64020
Дата: 17.10.2007
Время: 1:01:24
Пользователь: Н/Д
Компьютер: МАСИМКА
Описание:
Защита файлов Windows при сканировании обнаружила, что системный файл c:\windows\system32\winlogon.exe имеет неправильную подпись. Этот файл восстановлен до исходной версии для обеспечения стабильности системы. Версия системного файла 5.1.2600.2180.Добавлено через 4 минутыТип события: Уведомление
Источник события: Windows File Protection
Категория события: Отсутствует
Код события: 64004
Дата: 17.10.2007
Время: 1:12:32
Пользователь: Н/Д
Компьютер: МАСИМКА
Описание:
Не удалось восстановить исходную, правильную версию защищенного системного файла c:\windows\system32\ntsd.exe. Номер версии неправильного файла 5.1.2600.0 Конкретный код ошибки: 0x800b0100 [В этом объекте нет подписи.
].
кстате очень похожий случай
http://virusinfo.info/showthread.php?t=13321
в этой теме токо дублер winlogon.exe в папке пользователя TEMP я прибил
Последний раз редактировалось Alexey_K1; 18.10.2007 в 13:20. Причина: Добавлено
пофиксите ...
выполните скрипт....Код:O20 - Winlogon Notify: €ђ - €ђ (file missing) O20 - Winlogon Notify: АР - АР (file missing) O20 - Winlogon Notify: ИШ - ИШ (file missing) O20 - Winlogon Notify: (Ра - (Ра (file missing) O20 - Winlogon Notify: @иш - @иш (file missing) O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll O20 - Winlogon Notify: instcat- - C:\WINDOWS\SYSTEM32\instcat.dll O20 - Winlogon Notify: Pш - Pш (file missing) O20 - Winlogon Notify: X - X (file missing) O20 - Winlogon Notify: ` - ` (file missing) O20 - Winlogon Notify: * ( - * ( (file missing) O20 - Winlogon Notify: р˜Ё - р˜Ё (file missing) O20 - Winlogon Notify: ш*° - ш*° (file missing)
повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('instcat.dll',''); QuarantineFile('System32\DRIVERS\smtpdrv.sys',''); QuarantineFile('\??\C:\WINDOWS\system32\poof',''); QuarantineFile('\??\C:\WINDOWS\system32\kprof',''); DeleteFile('\??\C:\WINDOWS\system32\kprof'); DeleteFile('\??\C:\WINDOWS\system32\poof'); DeleteFile('System32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\Windows\System32\Drivers\Xbq26.sys'); DeleteFile('Xbq26.sys'); DeleteFile('instcat.dll'); BC_ImportDeletedList; BC_DeleteSvc('kprof'); BC_DeleteSvc('poof'); BC_DeleteSvc('smtpdr'); BC_DeleteSvc('Xbq26'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось V_Bond; 18.10.2007 в 16:20.
Выполните скрипт:
Пришлите карантин по правилам.Код:begin BC_QrFile('C:\WINDOWS\system32\Drivers\ippflt.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\System.sys'); BC_QrFile('C:\WINDOWS\system32\System.sys'); BC_QrFile('C:\WINDOWS\System.sys'); BC_QrFile('System.sys'); BC_DeleteSvc('kprof'); BC_DeleteSvc('poof'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Xbq26'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
проделал и скрипт и вот новые логи
и карантин послал
Выполните скрипт в AVZ:
Пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\AppCert\wsil32.dll'); DeleteFile('C:\WINDOWS\system32\AppCert\wnl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\ippflt.sys'); DeleteFile('C:\WINDOWS\system32\instcat.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи по правилам + дополнительный в безопасном режиме.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://evmhedf.footchild.cn/?262495014733 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://evmhedf.footchild.cn/?262495014733 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://evmhedf.footchild.cn/?262495014733 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://evmhedf.footchild.cn/?262495014733 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing) O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN O20 - Winlogon Notify: 8ар - 8ар (file missing) O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll O20 - Winlogon Notify: рЁ - рЁ (file missing)
Добавлено через 10 минут
Xbq26.sys - Rootkit.Win32.Agent.it
instcat.dll - Email-Worm.Win32.Locksky.bh
wnl32.dll - Trojan-Downloader.Win32.Agent.dng
+ еще пара свежаков, потом напишу названия...
Неуловимый system.sys остался. Когда будете делать доп. лог, после запуска стандартного скрипта #1 (антируткит) попробуйте поискать system.sys через Сервис - Поиск файлов на диске. Если найдется - поместите в карантин и пришлите по правилам.
Последний раз редактировалось Bratez; 18.10.2007 в 15:09. Причина: Добавлено
I am not young enough to know everything...
Сделал в Безопасном режиме доп логи.
ЗЫ не удаляются эти файлы, по последнему скрипту, я его повторил после перезагрузки, он опять написал, что они есть что удалять.. загружаюсь только в безопасном режиме с сетевыми драйверами (в просто Безопасный режим не грузится) при загрузке каждый раз спрашивает загрузить драйвер Up55Bus.sys если отказать то тоже не грузится винды
Судя по этим логам, скрипт отработал успешно.
Ждем логи AVZ в нормальном режиме (п.8-10 правил).
Что с поиском system.sys?
I am not young enough to know everything...
system.sys не нашел не в безопасном не в нормальном режиме после запуска 1 скрипта(о\логи отработки первых скриптов прилагаю)
Ждем логи AVZ в нормальном режиме прилагаю также отправляю вам вирусы которые сам с архивировал по правилам
1. UP55 это не вирус, это драйвер от какого-то виртуальника (DT, Alcohol и т.п.).
2. Правила вы похоже читали по диагонали, перечитайте упомянутые п.8-10 (самый первый лог таки правильно был сделан!).
3. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\nwrdr.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Если что-то попадет в карантин - пришлите.
I am not young enough to know everything...
прошу простить за неправильные логи...
вот вроде по скрипту сделал и карантин прицепил
Последний раз редактировалось Alexey_K1; 19.10.2007 в 11:25.
уберите карантин из темы ...
C:\WINDOWS\system32\drivers\symavc32.sys Rootkit.Win32.Agent.it
отключите восстановление системы....
очистите корзину ....
C:\WINDOWS\system32\DRIVERS\nwrdr.sys поищите через AVZ-сервис поиск файлов на диске ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys '); BC_ImportDeletedList; BC_DeleteSvc('symavc32'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
если найдется пришлите по правилам...
повторите логи...
странно восстановление отключал сразу как оно включилось не понятно
корзину очистил
скрипт выполнил
файл нашелся в 2х папках еще в DllCacheC:\WINDOWS\system32\DRIVERS\nwrdr.sys поищите через AVZ-сервис поиск файлов на диске ...
делаю добавить к карантину... не добавляет карантин пуст... хотя файл в папке С:\WINDOWS\system32\DRIVERS\ вижу и могу его с архивировать
логи ща будут
логи
также сделал еще в безопасном режиме иследование сисетмы
Последний раз редактировалось Shu_b; 19.10.2007 в 16:12.
C:\WINDOWS\system32\DRIVERS\nwrdr.sys - попробуйте переименовать заархивировать с паролем и прислать по правилам ....
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\s-1-5-21-57989841-1343024091-839522115-1003\\dc16.exe - Trojan-Dropper.Win32.Agent.bzd (DrWEB: BackDoor.Bulknet.71)
- c:\\system volume information\\_restore{9c27793b-3be3-4e5b-9711-8044f6af738d}\\rp1\\a0006266.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
- c:\\windows\\system32\\appcert\\wnl32.dll - Trojan-Downloader.Win32.Agent.dng (DrWEB: Trojan.DownLoader.3585
- c:\\windows\\system32\\drivers\\symavc32.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
- c:\\windows\\system32\\drivers\\xbq26.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
- c:\\windows\\system32\\instcat.dll - Email-Worm.Win32.Locksky.bh (DrWEB: Trojan.Proxy.1870)
Уважаемый(ая) Alexey_K1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.