Посмотрите пожалуйста

**alivan** · 28.08.2010, 12:03

Поначалу не запускались AVZ и HJ. После запуска cureit удалилось несколько вирусов и BSOD. Послк перезагрузки стали запускаться avz и hj. AVZ я переименовал.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 28.08.2010, 12:17

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\erxtpq.exe','');
 QuarantineFile('C:\WINDOWS\system32\61ce5e6d.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\jiahu.sys','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 DeleteFile('C:\WINDOWS\system32\61ce5e6d.exe');
 DeleteFile('C:\WINDOWS\system32\erxtpq.exe');
QuarantineFileF('%system32%', '*.exe', false,'', 0, 0, '28.07.2010', '28.08.2010');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
SetAVZPMStatus(true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите + в дополнение сделайте лог Gmer

**alivan** · 28.08.2010, 12:45

Карантин отправлен. При перезагрузке продолжает выскакивать сообщение об ошибке запуска sisdgi32. При запуске gmer выскакивает окно о возможной модификации системы, при начале сканирования BSOD.

**миднайт** · 28.08.2010, 12:57

Сделайте логи последней версией AVZ, + Сделайте лог Vba32 AntiRootkit в режиме ordinary.

**alivan** · 28.08.2010, 14:23

Новые логи.

**миднайт** · 28.08.2010, 14:40

В AVZ выполните скрипт в безопасном режиме загрузки операционной системы:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\Drivers\jiahu.sys','');
BC_QrFile('C:\WINDOWS\system32\Drivers\jiahu.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\jiahu.sys');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
BC_ImportAll;
ExecuteSysClean;
 AddToLog(inttostr(BC_ServiceKill('jiahu')) );
 SaveLog(GetAVZDirectory+'avz_log.txt');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

**alivan** · 28.08.2010, 15:08

Карантин отправил. Теперь знаю что бывает, если вместо карантина попытаться отправить лог (по ошибке). Окно об ошибке выполнения sisgbi32 пропало. Но при попытке запустить gmer тоже самое. BSOD вылетает на jiahu.sys (если не ошибаюсь).

**миднайт** · 28.08.2010, 15:49

В AVZ - Сервис - Модули пространства ядра - кликните по файлу jiahu.sys и нажмите кнопочку "Снять дамп текущего модуля". В результате образуется папка DMP в каталоге с avz, заархивируйте ее и пришлите на изучение.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\at7qoo74.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\atapi.sys');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

**alivan** · 28.08.2010, 16:12

Карантин отправил.

**миднайт** · 28.08.2010, 19:03

Запустите Vba32 AntiRootkit. Зайдите в секцию Tools - Kernel Modules - Найдите файл C:\WINDOWS\system32\Drivers\jiahu.sys, правая клавиша мыши - Wipe File. Перезагрузитесь, повторите лог AVZ virusinfo_syscure.zip

**alivan** · 28.08.2010, 19:50

Лог.

**alivan** · 29.08.2010, 12:11

Какой-то неубиваемый драйвер. Для чего он используется?

Добавлено через 2 часа 59 минут

Все же что с системой?

**миднайт** · 29.08.2010, 12:55

Упорный зловред. Попрошу вас о следующем. Загрузитесь с LiveCD, скопируйте файл C:\WINDOWS\system32\Drivers\jiahu.sys в какую нибудь папку и переименуйте его в virus.tmp. Исходный файл удалите. Загрузитесь в обычном режиме, заархивируйте данный файл в архив с паролем virus и пришлите по красной ссылке вверху темы. Повторите лог virusinfo_syscure.zip.

**alivan** · 29.08.2010, 13:19

Карантин отправил.

**миднайт** · 29.08.2010, 14:37

C:\WINDOWS\system32\Drivers\jiahu.sys - Rootkit.Win32.Agent.biiu (Trojan.Packed.20819)

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\Drivers\jiahu.sys');
 DeleteService('jiahu');
 DeleteFile('jiahu.sys');
 BC_DeleteSvc('jiahu');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
После перезагрузки снова повторите лог virusinfo_syscure.zip.

**alivan** · 29.08.2010, 15:46

avz_log.txt до того как сделал обновления. Сейчас пишет что не обнаружено уязвимостей.

**polword** · 29.08.2010, 18:43

чисто

**CyberHelper** · 30.08.2010, 18:43

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 28
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sisgbi32.exe - Trojan.Win32.VB.ajzr ( DrWEB: Trojan.Botnetlog.518, BitDefender: Trojan.Generic.4804659, AVAST4: Win32:Malware-gen )
2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.caz ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
3. \\virus.tmp - Rootkit.Win32.Agent.biiu ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )

Посмотрите пожалуйста (заявка № 86597)

Опции темы