-
Junior Member
- Вес репутации
- 52
Не запускается KAV6, AVZ, HijackThis, Gmer..
Здравствуйте многоуважаемые!
Прошу помощи.
Комп с WinXP Pro SP2. Стоит Kaspersky Anti-Virus 6.0 for Windows Workstations, обновляется ежедневно (без проактивной защиты). Пользователь перешел по ссылке из спам-письма на сайт "www. g-stageusa .com", скачал архив price.zip, запустил оттуда экзюк.
Вышло окошко с кракозяблами. После перезагрузки имеем:
не запускается Касперский, Агент администрирования Касперского, AVZ, HijackThis, Gmer.
При запуске AVZ сообщение "данный файл не является приложением win32". Переименовывал всеми способами com, pif, cmd, по-русски имя файла - все равно не запускается.
В автозапуске HKLU\...\Run была программа-чат. Этот экзюк заменил собой файл чата. Оттуда я его убрал.
Отправил на VirusTotal:
http://www.virustotal.com/ru/analisi...4fa-1270719647
Файл fishchat3.exe.0 получен 2010.04.08 09:40:47 (UTC)
Текущий статус: закончено
Результат: 9/38 (23.69%)
Ни Касперский, ни DrWeb, Nod32 его не видят.
Размер экзюка - 1 602 048 байт.
Есть в нем описание "FileDescription : For AT&T Apple iPhone 3G Screen Protector LCD Pro Guard"
Скачал CureIt, проверил - ничего не находит.
Восстановление системы отключил.
Что делать?
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните правила с помощью полиморфного AVZ (ссылка в моей подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Шлю логи.
Thyrex, спасибо, полиморфный AVZ запустился.
Логи прикладываю.
Дополнительная информация (что обнаружил):
TCPView показывает периодически (примерно раз в 10 сек) возникающее исходящее соединение скрытого процесса <non-exisstent> на адрес ww-in-f147. 1e100. net по 80 порту.
Файл процесса - "C:\Documents and Settings\User\Application Data\drivers\winupgro.exe"
Его не видно, обычным способом не удаляется. Размер файла совпадает с размером скачанного "нехорошего" экзюка - 1 602 048 байт.
И еще симптом: после заражения перестал работать звук, как будто нет установленного устройства.
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по wfsintwq.sys и выберите "Turn Run Off". Перезагрузку подтвердите.
Лог работы OSAM также прикрепите к своему сообщению
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\system32\drivers\e100b325.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\e1e5132.sys','');
QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось thyrex; 09.04.2010 в 11:03.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
После рекомендованных действий с OSAM стал виден файл "C:\Documents and Settings\User\Application Data\drivers\winupgro.exe". Его можно удалить.
Пока не удалял, перезагрузился. Запустил OSAM снова - C:\WINDOWS\system32\wfsintwq.sys опять есть в драйверах.
Пофиксил его и заодно обнаружил и пофиксил в HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "C:\Documents and Settings\User\Application Data\drivers\winupgro.exe"
Прилагаю 2 лога OSAM после первого лечения и последнего.
Теперь, как я понимаю нужно удалить файлы winupgro.exe и wfsintwq.sys?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин AVZ прикрепил сверху.
Файл e100b325.sys - это драйвер сетевого адаптера Intel PRO 100.
e1e5132.sys вроде не нашел.
Качаю ComboFix..
-
Junior Member
- Вес репутации
- 52
-
Полегчало после работы ComboFix?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Полегчало после работы ComboFix?
Ну он удалил radmin у пользователя - придется ножками сходить
Звук есть (он кажется после OSAM появился).
AVZ и установленный Касперский не запускаются по-прежнему - "данный файл не является приложением win32".
Попробую Каспера переустановить.
OSAM тоже не запускается, не хватает какого-то драйвера (ComboFix возможно потер).
Кстати, обнаружил интересные записи в c:\windows\setupapi.log (прилагаю setupapi_VIR.log).
Похоже там winupgro.exe отключает каспера.
Последний раз редактировалось tryamor; 09.04.2010 в 16:19.
-
Да, Радмин убит
Антивирус попробуйте переустановить.
Выполните скрипт в полиморфном AVZ
Код:
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи AVZ (по возможности обычным AVZ)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Сделайте новые логи AVZ (по возможности обычным AVZ)
Нет, обычный не запускается и после скрипта.
Делаю логи в полиморфном AVZ.
-
Попробуйте переустановить OSAM и сделать лог еще раз
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Program Files\fishchat3.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FishChat3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Сделайте отчет GSI (ссылка в подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Program Files\fishchat3.exe');
fishchat3.exe - своя программа-чат, она проверена, но скрипт послушно выполняю. При заражении именно эту программу заменил собой вирус, т.е. заменил собой исполняемый файл fishchat3.exe (чтобы самому не прописываться в автозапуск Я это заметил и заменил fishchat3.exe настоящим. Но скрипт, повторяю выполнил.
OSAM переустановил. Лог OSAM и GetSystemInfo прилагаю.
-
Junior Member
- Вес репутации
- 52
Елки, похоже AVZ был битый - попробовал на другом компе - тоже не запускается. Свежескачанный запустился. Сорри за невнимательность.
Остался Касперский. Один разуже переустанавливал - не запускается. Попробую полностью деинсталировать и установить заново.
Добавлено через 32 минуты
Переустановил Каспеского 6 и агента администрирования. Все заработало. Правда Каспер при установке ругнулся:
Код:
Приложение: Антивирус Касперского 6.0 для Windows Workstations -- Ошибка 1904.Не удается зарегистрировать модуль C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\adialhk.dll. HRESULT -2147024891. Обратитесь в Службу технической поддержки.
..но запустился.
В общем получается что все работает
Огромное большое спасибо!!
Последний раз редактировалось tryamor; 12.04.2010 в 02:47.
Причина: Добавлено
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wfsintwq.sys','');
DeleteFile('C:\WINDOWS\system32\wfsintwq.sys');
DeleteFile('C:\Documents and Settings\User\Application Data\drivers\winupgro.exe');
DeleteService('srosa');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог OSAM
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Извините за задержку.
Лог OSAM прилагаю.
Сейчас все работает без замечаний. Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\wfsintwq.sys - Trojan-Downloader.Win32.Bagle.avs ( DrWEB: Trojan.NtRootKit.6851, BitDefender: Rootkit.Bagle.Gen, AVAST4: Win32:Beagle-AAW [Trj] )
-