Началось с криптопакера[Packed.Win32.PolyCrypt.b]

[sunic]

Здравствуйте Хелперы.
После посещения сайта по правам человека был подхвачен вирус (именно с него так как в нем найден был вирусный скрипт который выполнял заражение машин испробывал на двух) Началась как всекгда эпидеми При этом 6 Кашмарский для рабочих станция с лиц подпиской только мог перезагружаться при нахождении активного процесса с телом вируса. сканирование АВЗ с обеновленными базами тоже не дало положительных результатов как в обычном так и безопасном. Сканирование проводилось так же Доктором Веб в safe моде опять эе что то нашел но не все. Наконец сканирование малверем внушило надежду так как он удалил записи в реестре и некоторые файлы. После чего сканирование АВЗ для раздела помогите. так признаюсь что чуствую что то еще осталось вдрайвкрах или в где о еще.
Поэтому внизу логи от АВЗ и утилиты по процесамм и записям в реестре (просто не выговорю)
omkk.ru/virusinfo/hijackthis.log
omkk.ru/virusinfo/virusinfo_syscheck.zip
omkk.ru/virusinfo/virusinfo_syscure.zip
После наконечто таки успешного обновления малвериБайтс найдено много чего поэто думаю что лг будет не лишний
omkk.ru/virusinfo/mbam-log.txt
Надеюсь вы подскажите что еще можно кдалить конечно КРОМЕ Маздая она мне нужен
НАдеюсь на помощь

[Гриша]

Прикрепите логи к сообщению...

[sunic]

Так как на мою долю постоянно выпадает какието непонятные отказы в принятии фыорумом отчетов я загрузил их к себе и ссылку дал в первом посте

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('WINIO');
 QuarantineFile('c:\Temp\Rar$EX00.672\winio.sys','');
 QuarantineFile('dwshd.sys','');
 DeleteFile('C:\WINXP\system32\Drivers\dwshd.sys');
 DeleteFile('c:\Temp\Rar$EX00.672\winio.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('WINIO');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[sunic]

в первом посте отчеты от АВЗ обновлены по тем же адресам файлы от 29,10,08 10,хх часов

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;       
 QuarantineFile('C:\WINXP\system32\Drivers\uje4odky.sys','');
end.

Загрузите карантин...

[sunic]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Загрузите карантин...

А какрантин пуст файлы на карантин /описание/ отсутсвует
PS посик авз файла uje4odky.sys тоже не дал результатов

[sunic]

Извените что опять обращаюсь
Хотелось бы спросить что делать с карантином если он пустой ведь тогда не возмоожно его заархивировать и отправить в СООТВЕТСТВИИ С ПРАВЛАМи
И второй вопрос посмотрите логи АВЗ ссылки которого в первом посте это логи с домашнего компьютра. Опять непонятная ситуация прогрнал на практически максимуме в настройках АВЗ ничего не нашел и не исправлял. а после создания отчета нашел и обезвредил функции перевата ... дальше по тексу лога. Подскажите нуждается ли магина в дальнейшем лечением.
И соответсвенно возникает вопрос что представляет собой скрипт сбора информации для раздела помогите и лечения карантина что при полной проверки диска на практически мах настройках АВЗ ничего не нашел а скорее всего при выполнении второго скрипта что даже вылечил. В оргах так же выкладываю логи от программы HiJHACK то есть они торже обновлены.
И на последок замечено на двух машинах в некоторый момент в ворде замечно самопроизвоьное набор текста состоящего из н-ного слов test в основном в полторы строки. Эту гадость можно ли как то выловить и удавить а то кто занет что она еще может натворит При этом замеччалось один раз при открытии нового точне создании нового документа пустого при условии что порядка трех документов было открыто
Надеюсь на скорейшее выздоровление моей машины
Хотелось бы добавит что на первой боеющей машине после лечения удалось запустить модуль защиты мониторинга в Malwarebytes' Anti-Malware а на домашней второй пациент нет он ругается что вроде как не может что то создать сервис. И вчера HijHAck не хотел тоже нормально запускаться но после прогона Malwarebytes' Anti-Malware сегодня искал и даже почти не ругался правда удать не пробывал

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 DelBHO('{7840B76D-6608-49C7-9B9D-2C7A58CB726D}');
 QuarantineFile('C:\WINDOWS\system32\esiis.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\snrpurrt.sys','');
 DeleteService('snrpurrt');     
 DeleteFile('msansspc.dll');
 DeleteFile('C:\WINDOWS\system32\esiis.dll');
 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\snrpurrt.sys');
BC_ImportALL;     
ExecuteSysClean;
BC_DeleteSvc('snrpurrt.sys');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[sunic]

Пришлите карантин по правилам и повторите логи...

Повторные логи
omkk.ru/virusinfo/110808/virusinfo_syscheck.zip
omkk.ru/virusinfo/110808/virusinfo_syscure.zip
Карантин как вы и просили
omkk.ru/virusinfo/virus.zip
Если позволите вопрос
Что означает привеленная ниже запись из лога АВЗ И нормально ли ей появление при каждой проверки системы
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89E511F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89E511F8 -> перехватчик не определен
То есть так и должно быть
И если есть возможность попросите Олега Зайцева Занести в список распознаных програм и действий с файлами программу Unlocker
Заранее спасибо надеюсь на скорейший ответ

[Гриша]

Интересно зачем вам снифферы, брутфорсы?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\inetsrv.exe','');
 DeleteFile('C:\WINDOWS\system32\inetsrv.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

Записи нормальные, это перехваты эмулятора дисков...

[sunic]

Если я скажу по долгу службы вы же не поверите

[Гриша]

Мне в принципе все равно, хоть атомная бомба у вас на винте, но вы учтите, что многие такие поделки сами реально заражены и детектируется не для того чтобы ими не пользовались, а потому что они действительно инфицируют систему...

[sunic]

Пришлите карантин по правилам и повторите логи...

Повторные логи
omkk.ru/virusinfo/110808/virusinfo_syscheck.zip
omkk.ru/virusinfo/110808/virusinfo_syscure.zip
Карантин как вы и просили
omkk.ru/virusinfo/virus.zip
Логи и каранттие как Вы просили. вопрс появиля при выполнении скрипта Лечение и карантина АВЗ пишет что восстановленно н ное количество функций но после перезагрузки повторе скрипта лог повторяется Это как то можно исправить чтобы он один раз и навсегда исправил То есть не было вот этого
Восстановлено 47 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

[Гриша]

В логах чисто...

[sunic]

Григорий извени Но каковы мои действия в отношении завершающего такого сообщения от АВЗ
Восстановлено 47 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Причем перезагружался не помогает

[Гриша]

Я не понимаю вашего вопроса, есть перехват, AVZ его снимает, но после ребута он восстановится, это нормально...

[sunic]

поясняю АвзКак вы говорите находит перехват после ребута Должен Восстановить тоесть
1 Проверка системы АВз
2. В логах в конце вылезло что востановлены функции перехвата
3. Рубут системы
4. Проверка системы
5 В логах АВЗ та же фраза фунции перехвата восстановлены перезагрузитесь пожайлуста.
Как я понимаю (на своем примитивно эврестичеком уровне с элементами пааранои) такого не должно быть Другими словами Пункт 5 Долже Отсутвовать после ребута. Так функции востановлены простите Функции перехвата и соответсвено после ребута работают в прежнем режиме и не детектируются АВЗ и другими Антивирусниыми продуктами (Кстаи KAW6.0 как всегда молчить и ничего не говорит даже на максимуме)
Почему возникает этот вопрос До этого момента эта машина проверялась несколько раз и и таких сообщений не было софт не сильно поменялся с тех времен установлена пра программ для математики MAple Matematika и успешно удалены вот все изменения.
Вы извените если это уже начинается выглядеть как пароноика но анализ нескольких логов с разных систем берет свое
Заранее спасибо за внимание к данному вопросу

[Гриша]

Вы можете понять что перехваты ставит ваш антивирус и другой софт?

[sunic]

Извените что эта запись вызвала такие подозрения просто очень часто (при условии что стоят одинаковые антивирусы как дома так и на работе) после проверки рабочей машины и перезагрузки при условии что эта запись была они исчезали. Повторюсь софт практически один и тот же что дома что наработе.
Доверяясь Вашему мнению что это вотанавливается антивирус оставим эти записи в покое. Спасибо что помогли вылечить машины