корзина полностью не удаляется этим способом по причине того что файлы в ней, заняты другим процессом
корзина полностью не удаляется этим способом по причине того что файлы в ней, заняты другим процессом
Логи:
- Выполните команды в GMER.
После перезагрузки:Код:gmer.exe -del file "C:\WINNT\system32\drivers\LBTWiz.exe" gmer.exe -del file "C:\WINNT\system32\secupdat.dat" gmer.exe -reboot
-Выполните скрипт:
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DeleteFile('C:\WINNT\system32\drivers\LBTWiz.exe'); DeleteFile('C:\WINNT\system32\secupdat.dat'); RegKeyParamDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5','*.*',true); DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temp','*.*',true); DeleteFileMask('C:\Recycler\S-1-5-21-0432420807-5337844751-522354069-3143','*.*',true); DeleteFileMask('C:\Recycler\S-1-5-21-0243936033-3052116371-381863308-1811','*.*',true); DeleteFileMask('C:\windows\temp','*.*',true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте лог MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Лог:
Виден свет в конце туннеля
Эти 2 файла пришлите отдельным карантином (приложение 2 и 3 правил).C:\install\vano.utils\antimine.exe
C:\WINNT\system32\secupdat.dat
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuaratine; StopService('nod32drv'); StopService('AMON'); StopService('umjdmuzs'); QuarantineFile('C:\WINNT\system32\drivers\nod32drv.sys',''); QuarantineFile('C:\WINNT\system32\drivers\amon.sys',''); QuarantineFile('C:\WINNT\System32\Drivers\umjdmuzs.sys',''); DeleteFile('C:\WINNT\System32\Drivers\umjdmuzs.sys'); DeleteFile('C:\WINNT\system32\drivers\amon.sys'); DeleteFile('C:\WINNT\system32\drivers\nod32drv.sys'); DeleteFile('C:\WINNT\system32\secupdat.dat'); DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5','*.*',true); DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temp','*.*',true); DeleteFileMask('C:\Recycler\S-1-5-21-0432420807-5337844751-522354069-3143','*.*',true); DeleteFileMask('C:\Recycler\S-1-5-21-0243936033-3052116371-381863308-1811','*.*',true); DeleteFileMask('C:\windows\temp','*.*',true); DeleteService('nod32drv'); DeleteService('AMON'); DeleteService('umjdmuzs'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(16); ExecuteRepair(17); SetAVZPMStatus(True); RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Последний раз редактировалось Rene-gad; 27.08.2009 в 10:02.
В первом virus.zip нет secupdat.dat по причине:
AVZ: "Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\secupdat.dat) Карантин с использованием прямого чтения - ошибка"
---
Логи:
Попробуйте пролечить в МБАМ все пункты, которые он показывает.
Потом перегрузитесь и сделайте только лог МБАМ.
mbam находит(после полного скана mbam.log) secupdat.dat как Backdoor.Bot - удаляет его с перегрузкой системы.
Потом делаю повторный quick scan и снова находит его - mbam-quickScan.log (на последней стадии эвристического анализа)
Сделал поиск файла (secupdat.dat) по всему диску в C:\winnt\system32 его нет зато есть в "C:\Avenger\secupdat.dat", файл занят процессом и не удаляется
Поправка: файл не удаляется по причине "Отказано в доступе"..
Текущая учетная запись в группе Администраторы..
Пока выходил в интернет чтобы запостить логи снова появились процессы типа mcdrive32.exe, видимо они восстанавливаются при выходе в интернет за считанные минуты - я заметил что при максимальной очистке системе с последующим выходом в интернет все начинается с внешних tcp соединений от процесса "System" в диспетчере задач
поставил сверху SP3 - при первом запуске промелькнули 2 окна win консоли (cmd)
в диспетчере сразу висит mcdrive32.exe в корзине 1 файл лежит (пока что..) - csvcs.exe (занят процессом).
Сделал скан mbom'ом : он находит что в HKLM\microsoft\windows nt\currentversion\winlogon в ключе Taskman запускается csvcs.exe из корзины - он(mbom) их "удаляет", перегружается - делаю повторный скан все на месте =(
Скачал regmon от sysinternal : он показывает что при удалении(вручную) этого ключа он СРАЗУ ЖЕ восстанавливается (SetValue) процессом explorer.exe + почти каждую секунду опрос этого ключа через QueryValue этим же системным процессом - explorer.exe
Последний раз редактировалось Rene-gad; 27.08.2009 в 22:07.
Скачайте Combofix: http://www.geekstogo.com/forum/Combofix-file197.html и сделайте очистку и лог: http://www.bleepingcomputer.com/comb...o-use-combofix
Пункт о консоли восстановления примите просто к сведению.
Если не поможет - придется сносить систему.
Последний раз редактировалось Alex_Goodwin; 28.08.2009 в 15:05. Причина: поправил ссылки
Всем кто помог - огромное спасибо (ветку можна закрыть)
Полечилось удалением драйвера с именем "tvajqbsy" группы SCSI Class (см. логи)
как я понял имя генерится случайным образом при инсталяции и может отличаться.
После удаления этого драйвера почистил систему с помощью CCleaner
Логи до удаления драйвера:
Статистика проведенного лечения:
- Получено карантинов: 11
- Обработано файлов: 188
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\kiska.smart\gwun.exe - Backdoor.Win32.Agent.akgd ( AVAST4: Win32:Trojan-gen {Other} )
- c:\documents and settings\kiska.smart\local settings\temporary internet files\content.ie5\0oribjix\pr3xy[1].exe - Trojan.Win32.Buzus.bsao ( DrWEB: BackDoor.IRC.Sdbot.5093, BitDefender: Backdoor.IRCBot.ACTN, NOD32: Win32/Injector.WE trojan, AVAST4: Win32:Delf-MKX [Drp] )
- c:\documents and settings\kiska.smart\local settings\temporary internet files\content.ie5\0oribjix\var[1].exe - Trojan-GameThief.Win32.OnLineGames.bmml ( DrWEB: Win32.HLLW.Lime.16, BitDefender: Trojan.Delf.Inject.BK, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\documents and settings\kiska.smart\local settings\temporary internet files\content.ie5\1kgvuy9y\pr3xy[1].exe - Trojan.Win32.Buzus.bsao ( DrWEB: BackDoor.IRC.Sdbot.5093, BitDefender: Backdoor.IRCBot.ACTN, NOD32: Win32/Injector.WE trojan, AVAST4: Win32:Delf-MKX [Drp] )
- c:\documents and settings\kiska.smart\local settings\temporary internet files\content.ie5\1kgvuy9y\var[1].exe - Trojan-GameThief.Win32.OnLineGames.bmml ( DrWEB: Win32.HLLW.Lime.16, BitDefender: Trojan.Delf.Inject.BK, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\docume~1\kiska~1.sma\locals~1\temp\052.exe - Trojan-Downloader.Win32.Agent.cnha ( DrWEB: Trojan.Qhost.69, BitDefender: Trojan.Dropper.TDY, AVAST4: Win32:Trojan-gen {Other} )
- c:\recycler\s-1-5-21-0240430066-4213262780-417417981-5971\csvcs.exe - Trojan-Dropper.Win32.Agent.bben ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Dropper.TEC, NOD32: Win32/Peerfrag.AU worm, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe - Trojan-GameThief.Win32.OnLineGames.bmml ( DrWEB: Win32.HLLW.Lime.16, BitDefender: Trojan.Delf.Inject.BK, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan.Win32.Buzus.bsao ( DrWEB: BackDoor.IRC.Sdbot.5093, BitDefender: Backdoor.IRCBot.ACTN, NOD32: Win32/Injector.WE trojan, AVAST4: Win32:Delf-MKX [Drp] )
- c:\recycler\s-1-5-21-0432420807-5337844751-522354069-3143\csvcs.exe - Trojan-Downloader.Win32.Agent.cnha ( DrWEB: Trojan.Qhost.69, BitDefender: Trojan.Dropper.TDY, AVAST4: Win32:Trojan-gen {Other} )
- c:\recycler\s-1-5-21-1065985914-7931851278-986932962-7779\mwau.exe - Email-Worm.Win32.BSpread.b ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/Peerfrag.DD worm, AVAST4: Win32:Crypt-EXW [Trj] )
- c:\recycler\s-1-6-21-2434476501-1644491937-600003330-1213\system32.exe - Trojan.Win32.Limon.a ( DrWEB: Win32.HLLW.Lime.18 )
- c:\winnt\msdrive32.exe - Trojan-Dropper.Win32.Small.dta ( DrWEB: Trojan.Qhost.69, BitDefender: IRC-Worm.Generic.6253, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\winnt\system32\drivers\defmgr.exe - Net-Worm.Win32.Kolab.dpl ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Trojan.Kolab.C, AVAST4: Win32:Inject-UZ [Trj] )
- c:\winnt\system32\drivers\lbtwiz.exe - Net-Worm.Win32.Kolab.drc ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Kolab.C, NOD32: Win32/AutoRun.IRCBot.CA worm, AVAST4: Win32:Trojan-gen {Other} )
- c:\winnt\system32\drivers\winhost.exe - Net-Worm.Win32.Kolab.dpo ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Backdoor.IRCBot.ACUD, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UZ [Trj] )
- c:\winnt\system32\wshost32.exe - Trojan-Downloader.Win32.Agent.cner ( DrWEB: Trojan.Qhost.69, BitDefender: Application.Generic.198223, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:Trojan-gen {Other} )
- c:\winnt\win7service.exe - Trojan.Win32.Limon.a ( DrWEB: Win32.HLLW.Lime.18, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\winnt\win7service.exe - Trojan-Downloader.Win32.Pher.v ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )
Уважаемый(ая) f1shb0ne, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.