логи приложил. Замечу, что перед выполнением стандартного скрипта №3 в AVZ не указывал все разделы винта; при его выполнении стал проверяться только раздел C:
логи приложил. Замечу, что перед выполнением стандартного скрипта №3 в AVZ не указывал все разделы винта; при его выполнении стал проверяться только раздел C:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\shell64.dll',''); QuarantineFile('C:\WINDOWS\system32\3fb8a1.exe',''); QuarantineFile('C:\Documents and Settings\Луппов Владимир\csrss.exe',''); TerminateProcessByName('c:\windows\system32\userini.exe'); QuarantineFile('c:\windows\system32\userini.exe',''); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('000005FE.sys'); DeleteFile('C:\Documents and Settings\Луппов Владимир\csrss.exe'); DeleteFile('C:\WINDOWS\system32\3fb8a1.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager'); DeleteFile('C:\WINDOWS\system32\shell64.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{AEB6717E-7E19-11d0-97EE-00C04FD91972}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин выслал. Запустил сбор лога avz_sysinfo.htm скриптом №3 лечения/карантина и сбора информации для разделов C: и D:.
При этом в автозагрузке msconfig я вернул запуск для какой-то игры от Nevosoft NevoDRM.exe.
приложил логи. Замечу, что сначала пересобрал логи AVZ, затем вспомнил, что активен SpyBot и деинсталировал его. Затем собрал остальные логи. (Игру от Nevosoft деинсталировал, но в автозагрузке ссылка на NeNevoDRM.exe осталась)
Программа C:\Program Files\IMMonitor\IMMonitor ICQ Spy Вам известна?
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('C:\WINDOWS\system32\drivers\str.sys',''); QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\8981.exe',''); QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7F.tmp',''); QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM1F.tmp',''); QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM871.tmp',''); QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7B.tmp',''); QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM955.tmp',''); QuarantineFile('C:\WINDOWS\Temp\wpv841278400420.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv751278400097.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv791278399629.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv941278400263.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv621278400048.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv561278422643.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv471278400048.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv581277975557.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv321277975926.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv501277976249.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv611277975882.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv211277975441.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv581277975644.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv041277975692.exe',''); QuarantineFile('C:\WINDOWS\Temp\wpv001277975966.exe',''); QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe',''); end.
Удалите в МВАМ
Проверьте наличие файла C:\WINDOWS\system32\grpconv.exeКод:Зараженные ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amva (Spyware.OnlineGames) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv001277975966.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv041277975692.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv581277975644.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv211277975441.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv611277975882.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv501277976249.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv321277975926.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv581277975557.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv471278400048.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv561278422643.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv621278400048.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv941278400263.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv791278399629.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv751278400097.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\Temp\wpv841278400420.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM955.tmp (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7B.tmp (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM871.tmp (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM1F.tmp (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7F.tmp (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\8981.exe (Trojan.Dropper) -> No action taken. D:\distrib\avz4_1\avz4\Quarantine\2010-07-14\avz00001.dta (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
В случае отсутствия восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я спросил хозяйку зараженного ноута, она не знает, откуда у нее на компе IMMonitor ICQ Spy. Тогда я деинсталировал эту программу.
На зараженном ноуте стоит XP Home sp2. Файл C:\WINDOWS\system32\grpconv.exe отсутствует. Дистрибутива XP Home у меня нет, и пока не знаю, где взять этот файл. Можно ли его подсунуть с дистрибутива XP Professional sp2 или не стоит?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
grpconv.exe взял из SP2, система после перезагрузки работает. Карантин и лог МБАМ выслал. Проблемы остаются такие: до входа в систему в окне приглашения на вход система часто намертво подвисает, не давая ввести имя и пароль. При следующей загрузке запускается проверка диска (он имеет систему Fat32) на ошибки. После исправления ошибок система снова может зависнуть.
Добавлено 20.07.2010: также увидел, что система может зависнуть и после ввода пароля, на этапе загрузки профиля.
Последний раз редактировалось Константин Р.; 20.07.2010 в 11:23. Причина: разобрался с диспетчером задач
попробовал удалить два файла через МБАМ (см. лог mbam-log-2010-07-20 (12-06-46).txt), но C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) так и не удаляется. Восстановление системы отключено.
Уважаемый thyrex, я был бы рад получить дальнейшие указания. Если неточно им следовал на предыд.шаге, то приношу извинения. Зависание при входе в систему - может ли оно иметь причину, не связанную с активным вирусом? Стоит ли искать в другом направлении?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
запустил ComboFix без консоли восстановления, она зависла при сканировании. Установил консоль от XP professional, несколько раз перезагрузил комп, чтобы правильно запустить ComboFix. На данный момент прошло 25 мин после начала сканирования. Оставлю до утра. Надеюсь, что она не зависла.
Combofiх зависает с открытым окном AutoScan, не могу собрать лог. Завершить его помогает только отключение питания. Что теперь?
Попробуйте сделать лог в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В безопасном режиме ComboFix запустился, вывел сообщение об обнаружении активности руткита и попросил перезагрузки. После перезагрузкти вышли сообщения Completed Stage_1 и Completed Stage_2, затем всплыло окно: "PEV.cfxxe - Ошибка приложения. Исключение неизвестное программное исключение (0xc0000417) в приложении по адресу 0x00482899." Я нажал Ок для закрытия окна и работа продолжилась. После автомат. перезагрузки системы
при подготовке отчета всплыло окно ("Редактор реестра: Не удается экспортировать "C:\Qoobox\Quarantine\Registry_backups\AddRemo ve-FlatOut 2:Winter Pursuit_is1.reg.dat". Ошибка при открытии файла. Она м.б. связана с ошибкой на диске или сбоем системы). Закрыл окно нажатием "Ок". Вскоре появился лог. Сейчас система в безопасном режиме.
После загрузки в нормальном режиме выскакивает окно "Ошибка" (c:\windows\daemon.dll error!) Также первый раз мелькнуло окно какой-то презентации. Замечу, что стоит нод32 со старыми базами, но он неактивен.
Можно убрать из автозапуска NevoDRM (мешает сообщение об ошибке запуска "Не установлено ни одной игры")? Нужно ли советоваться по подобным
(кажется, очевидным) вопросам? Не знаю, как принято вести себя на этом форуме.
Перезагрузил ПК трижды, зависаний при входе пока не было. Жду вашего ответа.
c:\windows\system32\kernel32.dll проверьте на virustotal
Ссылку на результат проверки сообщите
Отключите в безопасном режиме через msconfig запуск Daemon Tools
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\4faa79a8.exe c:\windows\system32\drivers\dyfpei.sys c:\windows\system32\drivers\nuitge.sys c:\docume~1\ЛУППОВ~1\LOCALS~1\Temp\nznzwvxspracw.sys Driver:: ogveej olipv ajjfzjhi Folder:: C:\FOUND.018 C:\FOUND.017 C:\FOUND.016 C:\FOUND.015 C:\FOUND.014 C:\FOUND.013 C:\FOUND.012 C:\FOUND.011 Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NevoDRM"=- FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
результат проверки здесь: https://www.virustotal.com/ru/analis...2da-1275458685
Отключил Daemon Tools в безоп. режиме. В этом же режиме после перемещения CDScript.txt на пиктограмму запустился ComboFix, всплыло сообщение "CFScript Name Error. Where you trying to run CFScript? The name, CFScript appears to be incorrectly spelt. ". Нажал Ок и программа завершилась без вывода отчета.
На всякий случай, с вами я общаюсь с другого компьютера, а не с зараженного.
Увидел, что не тот файл переместил на пиктограмму. Сейчас исправлюсь.
Последний раз редактировалось Константин Р.; 23.07.2010 в 15:54. Причина: увидел ошибку, что не тот скрипт выполнил
Во время работы ComboFix вывел сообщение об обнаружении активности руткита и попросил перезагрузки. После перезагрузки (в обычном режиме) также всплыло окно: "PEV.cfxxe - Ошибка приложения. Исключение неизвестное программное исключение (0xc0000417) в приложении по адресу 0x00482899." Отчет программы приложил. Может, мне надо было только в безопасном режиме использовать программу, чтобы не возникала ошибка?
Плохого не видно в логе. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Константин Р., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.