xp тормозит либо подвисает при входе, диспетчер задач запускается урезанный

[Константин Р.]

логи приложил. Замечу, что перед выполнением стандартного скрипта №3 в AVZ не указывал все разделы винта; при его выполнении стал проверяться только раздел C:

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\shell64.dll','');
 QuarantineFile('C:\WINDOWS\system32\3fb8a1.exe','');
 QuarantineFile('C:\Documents and Settings\Луппов Владимир\csrss.exe','');
 TerminateProcessByName('c:\windows\system32\userini.exe');
 QuarantineFile('c:\windows\system32\userini.exe','');
 DeleteFile('c:\windows\system32\userini.exe');
 DeleteFile('000005FE.sys');
 DeleteFile('C:\Documents and Settings\Луппов Владимир\csrss.exe');
 DeleteFile('C:\WINDOWS\system32\3fb8a1.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
 DeleteFile('C:\WINDOWS\system32\shell64.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{AEB6717E-7E19-11d0-97EE-00C04FD91972}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1

[Константин Р.]

карантин выслал. Запустил сбор лога avz_sysinfo.htm скриптом №3 лечения/карантина и сбора информации для разделов C: и D:.
При этом в автозагрузке msconfig я вернул запуск для какой-то игры от Nevosoft NevoDRM.exe.

[Константин Р.]

приложил логи. Замечу, что сначала пересобрал логи AVZ, затем вспомнил, что активен SpyBot и деинсталировал его. Затем собрал остальные логи. (Игру от Nevosoft деинсталировал, но в автозагрузке ссылка на NeNevoDRM.exe осталась)

[thyrex]

Программа C:\Program Files\IMMonitor\IMMonitor ICQ Spy Вам известна?

Выполните скрипт в AVZ

Код:

begin
QuarantineFile('C:\WINDOWS\system32\drivers\str.sys','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\8981.exe','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7F.tmp','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM1F.tmp','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM871.tmp','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7B.tmp','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM955.tmp','');
QuarantineFile('C:\WINDOWS\Temp\wpv841278400420.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv751278400097.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv791278399629.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv941278400263.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv621278400048.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv561278422643.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv471278400048.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv581277975557.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv321277975926.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv501277976249.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv611277975882.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv211277975441.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv581277975644.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv041277975692.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv001277975966.exe','');
QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amva (Spyware.OnlineGames) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv001277975966.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv041277975692.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv581277975644.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv211277975441.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv611277975882.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv501277976249.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv321277975926.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv581277975557.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv471278400048.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv561278422643.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv621278400048.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv941278400263.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv791278399629.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv751278400097.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv841278400420.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM955.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7B.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM871.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM1F.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7F.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\8981.exe (Trojan.Dropper) -> No action taken.
D:\distrib\avz4_1\avz4\Quarantine\2010-07-14\avz00001.dta (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.

Проверьте наличие файла C:\WINDOWS\system32\grpconv.exe
В случае отсутствия восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

Сделайте новый лог МВАМ

[Константин Р.]

Я спросил хозяйку зараженного ноута, она не знает, откуда у нее на компе IMMonitor ICQ Spy. Тогда я деинсталировал эту программу.
На зараженном ноуте стоит XP Home sp2. Файл C:\WINDOWS\system32\grpconv.exe отсутствует. Дистрибутива XP Home у меня нет, и пока не знаю, где взять этот файл. Можно ли его подсунуть с дистрибутива XP Professional sp2 или не стоит?

[thyrex]

Можно ли его подсунуть с дистрибутива XP Professional sp2

Попробуйте

Что с проблемой?

[Константин Р.]

grpconv.exe взял из SP2, система после перезагрузки работает. Карантин и лог МБАМ выслал. Проблемы остаются такие: до входа в систему в окне приглашения на вход система часто намертво подвисает, не давая ввести имя и пароль. При следующей загрузке запускается проверка диска (он имеет систему Fat32) на ошибки. После исправления ошибок система снова может зависнуть.
Добавлено 20.07.2010: также увидел, что система может зависнуть и после ввода пароля, на этапе загрузки профиля.

[Константин Р.]

попробовал удалить два файла через МБАМ (см. лог mbam-log-2010-07-20 (12-06-46).txt), но C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) так и не удаляется. Восстановление системы отключено.

[Константин Р.]

Уважаемый thyrex, я был бы рад получить дальнейшие указания. Если неточно им следовал на предыд.шаге, то приношу извинения. Зависание при входе в систему - может ли оно иметь причину, не связанную с активным вирусом? Стоит ли искать в другом направлении?

[thyrex]

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[Константин Р.]

запустил ComboFix без консоли восстановления, она зависла при сканировании. Установил консоль от XP professional, несколько раз перезагрузил комп, чтобы правильно запустить ComboFix. На данный момент прошло 25 мин после начала сканирования. Оставлю до утра. Надеюсь, что она не зависла.

[Константин Р.]

Combofiх зависает с открытым окном AutoScan, не могу собрать лог. Завершить его помогает только отключение питания. Что теперь?

[thyrex]

Попробуйте сделать лог в безопасном режиме

[Константин Р.]

В безопасном режиме ComboFix запустился, вывел сообщение об обнаружении активности руткита и попросил перезагрузки. После перезагрузкти вышли сообщения Completed Stage_1 и Completed Stage_2, затем всплыло окно: "PEV.cfxxe - Ошибка приложения. Исключение неизвестное программное исключение (0xc0000417) в приложении по адресу 0x00482899." Я нажал Ок для закрытия окна и работа продолжилась. После автомат. перезагрузки системы
при подготовке отчета всплыло окно ("Редактор реестра: Не удается экспортировать "C:\Qoobox\Quarantine\Registry_backups\AddRemo ve-FlatOut 2:Winter Pursuit_is1.reg.dat". Ошибка при открытии файла. Она м.б. связана с ошибкой на диске или сбоем системы). Закрыл окно нажатием "Ок". Вскоре появился лог. Сейчас система в безопасном режиме.

[Константин Р.]

После загрузки в нормальном режиме выскакивает окно "Ошибка" (c:\windows\daemon.dll error!) Также первый раз мелькнуло окно какой-то презентации. Замечу, что стоит нод32 со старыми базами, но он неактивен.
Можно убрать из автозапуска NevoDRM (мешает сообщение об ошибке запуска "Не установлено ни одной игры")? Нужно ли советоваться по подобным
(кажется, очевидным) вопросам? Не знаю, как принято вести себя на этом форуме.
Перезагрузил ПК трижды, зависаний при входе пока не было. Жду вашего ответа.

[thyrex]

c:\windows\system32\kernel32.dll проверьте на virustotal
Ссылку на результат проверки сообщите

Отключите в безопасном режиме через msconfig запуск Daemon Tools

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\4faa79a8.exe
c:\windows\system32\drivers\dyfpei.sys
c:\windows\system32\drivers\nuitge.sys
c:\docume~1\ЛУППОВ~1\LOCALS~1\Temp\nznzwvxspracw.sys

Driver::
ogveej
olipv
ajjfzjhi

Folder::
C:\FOUND.018
C:\FOUND.017
C:\FOUND.016
C:\FOUND.015
C:\FOUND.014
C:\FOUND.013
C:\FOUND.012
C:\FOUND.011

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NevoDRM"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Константин Р.]

результат проверки здесь: https://www.virustotal.com/ru/analis...2da-1275458685
Отключил Daemon Tools в безоп. режиме. В этом же режиме после перемещения CDScript.txt на пиктограмму запустился ComboFix, всплыло сообщение "CFScript Name Error. Where you trying to run CFScript? The name, CFScript appears to be incorrectly spelt. ". Нажал Ок и программа завершилась без вывода отчета.
На всякий случай, с вами я общаюсь с другого компьютера, а не с зараженного.
Увидел, что не тот файл переместил на пиктограмму. Сейчас исправлюсь.

[Константин Р.]

Во время работы ComboFix вывел сообщение об обнаружении активности руткита и попросил перезагрузки. После перезагрузки (в обычном режиме) также всплыло окно: "PEV.cfxxe - Ошибка приложения. Исключение неизвестное программное исключение (0xc0000417) в приложении по адресу 0x00482899." Отчет программы приложил. Может, мне надо было только в безопасном режиме использовать программу, чтобы не возникала ошибка?

[thyrex]

Плохого не видно в логе. Что с проблемой?