Пакет проверки подлинности не опознан

**vistor** · 11.02.2008, 22:32

WinXP SP1.
Симптомы.
1. Поле, где ставится галочка отключения восстановления системы, не активно, наблюдение за дисками ведется, утилита восстановлени системы при запуске говорит, надо перезагрузиться и попробовать еще раз.
2. При соединении с инетом в tcpview отображается порядка 30 строк (каждой) типа
"winlogon.exe:880 TCP vistor:4849 10.1.140.29:microsoft-ds SYN_SENT",
"[System Process]:0 TCP vistor:4750 host204-13-161-99.oversee.net:http TIME_WAIT"
и "winlogon.exe:880 TCP vistor:4858 vistor:0 LISTENING".
3. При загрузке (не каждый раз, но чаще так, нежели должным образом), при выборе учетной записи мышь двигается, но при наведении на значки пользователей и выключения они не активируются и не действуют при нажатии. С клавиатуры управлять тоже невозможно - только ресет.
Все это (1, 2, 3) начало проявляться, когда удалит Simantec AntiVir, а пока он стоял...
4. Периодически, при подключении к инету, он (SAV) сообщал, что по пути "C:\WINDOWS\system32\config\systemprofile\Loca l Settings\Temporary Internet Files\Content.IE5\XHUTURQJ\" обнаружен вирус "что-то там.Banwarum". Поставил на эту папку filemon и увидел, что файл 10.1.7[1] создает lsass.exe
"109 17:56:20 lsass.exe:964 WRITE C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\XHUTURQJ\10.1.7[1] SUCCESS Offset: 892 Length: 48" и в это же время пропадала локальная сеть.
5. Пропадала в том смысле, что пинги шли, сервисы типа http, radmin, dns работали, но не мог быть осуществлен доступ к расшаренным папкам и принтерам, т.е. smb не работал. Глянул etherealом, вроде все ответные пакеты от компа с шарой идут нормальные, а система (диалоговое окно windows с кнопной ок) при подключении сетевого диска, ранее настроенного, отвечает, что "пакет проверки подлинности не опознан".
Вот так, может быть немного сумбурно, но суть именно в этом.
Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**akok** · 11.02.2008, 22:46

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  QuarantineFile('C:\Program Files\Symbian\Shared\SymbianConnectRunTime\SCBAL.exe','');
 SetServiceStart('PowerManager', 4);
 StopService('PowerManager');
 QuarantineFile('pcsinst.dll','');
 QuarantineFile('atmgrtok.dll','');
 QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
 QuarantineFile('C:\WINDOWS\System32\vbsys2.dll','');
 QuarantineFile('C:\WINDOWS\System32\bvsjds7ehd.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\PsSdk30.drv','');
 QuarantineFile('C:\WINDOWS\System32\drivers\pdlnepkt.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\pdlndint.sys','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\pdlnacom.sys','');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\WINDOWS\System32\bvsjds7ehd.dll');
 DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
 DeleteFile('C:\WINDOWS\System32\rpcc.dll');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-622221193458}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193458}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193457}');
 DelBHO('{8D5849A2-93F3-429D-FF34-260A2068897C}');
 DeleteService('PowerManager');
 BC_ImportALL;
 BC_Activate;
 ClearHostsFile;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17899

Повторите логи

**vistor** · 12.02.2008, 00:32

При выполнении этого скрипта, как и при выполнении стандартного скрипта лечения\карантина, система устойчиво (5 попыток) выпадает в синий экран stop 0xA IRQL_NOT_LESS_OR_EQUAL. Выполняя Ваш скрипт, она падает после надписи в окне лога:
"1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен"
Вот логи, которые было возможно сделать. Файлов в карантине не появилось, там только пять позиций с именами, длинами, причинами и проч. в которых стоят знаки "?". Есть карантин (высылаю), который был создан в первый раз, т.е. до выполнения скрипта, присланного Вами.

**akok** · 12.02.2008, 00:45

Уберите первую строку и повторите попытку

Добавлено через 2 минуты

Или попробуйте выполнить в безопасном режиме...

От логов нет смысла если они делались без выполнения скрипта

**vistor** · 12.02.2008, 20:53

В защищенном режиме выполнил Ваш скрипт и стандартный лечения\карантина. Перезагрузился в обычном режиме, заархивировал карантин, выполнил скрипт сбора информации и hijackthis.

**akok** · 12.02.2008, 22:33

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\gmer.sys','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
 DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17899

Добавлено через 1 минуту

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 	
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\

Добавлено через 5 минут

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\mszsrn32.dll');
 SysCleanAddFile('C:\WINDOWS\system32\mszsrn32.dll');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Добавлено через 2 минуты

Повторите логи в обычном режиме

**vistor** · 12.02.2008, 23:23

Все скрипты вызывают синий экран stop 0xA IRQL_NOT_LESS_OR_EQUAL на строке SearchRootkit(true, true) в обычном режиме. Есть ли смысл их выполнять в защищенном режиме?

**V_Bond** · 13.02.2008, 00:06

можно выполнить и в safe mode ...

**vistor** · 13.02.2008, 07:54

Ваши скрипты и скрипт лечение\карантин выполнены в защищенном режиме, остальное в обычном. При загрузке в защищенном режиме (мигает курсор на черном экране) и при выходе из него (идет завершение работы...) на перезагрузку или выключение диск крутится порядка 4-5 минут, а при обычном режиме все достаточно быстро... В утилите tcpview все еще множество строк типа
"[System Process]:0 TCP vistor:3156 unknown.hostforweb.com:http TIME_WAIT "

**V_Bond** · 13.02.2008, 09:12

Восстановление системы: включено \ отключить
пофиксите ...

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

**vistor** · 13.02.2008, 18:55

В том то и дело, что не удается откллючить восстановление системы, я об этом и писал первым пунктом первого поста.

**akok** · 13.02.2008, 19:05

Попробуйте отключит службу

пуск - msconfig - вкладка службы

**V_Bond** · 13.02.2008, 20:02

выполните скрипт ....

Код:

begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

**vistor** · 13.02.2008, 22:22

1. -В tcpview все еще много строк типа [System Process]:0 TCP vistor:3025 unknown.hostforweb.com:http TIME_WAIT, как оказалось это Ваш хост 216.246.90.119.
2. -При выполнении скрипта лечение\карантир - синий экран...
3. -Загрузка и завершение работы в защищенном режиме происходит в течении 5-6 минут.
4. +"Галочка" в востановлении системы стала активной.
5. +Лишнего трафика нет.
Если будут какие-либо еще проявления вирусной активности, то в эту же тему писать или создавать новую?
Спасибо за помощь.

**V_Bond** · 13.02.2008, 22:57

зловредного в логах ничего нет ...
ставте обновления и фаерволл ... проблемы должны решиться ...

**vistor** · 14.02.2008, 07:26

Спасибо.

**CyberHelper** · 22.02.2009, 03:53

Статистика проведенного лечения:

Получено карантинов: 6
Обработано файлов: 48
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\mszsrn32.dll - Email-Worm.Win32.Banwarum.e (DrWEB: Win32.HLLM.Rancheg)

Пакет проверки подлинности не опознан (заявка № 17899)

Опции темы

Пакет проверки подлинности не опознан

Итог лечения

Похожие темы

Проверка подлинности

Драйвер опознан как безопасный... что это значит?

Пакет проверки подлинности не опознан

Ваши права в разделе