-
Junior Member
- Вес репутации
- 52
При проверке трояна виснут антивирусы и AVZ
Доброго дня уважаемому экспертному сообществу!
Антивирус (Нортон) при подключении компа к И-нету постоянно сигнализирует о том, что кто-то пытается отправлять спам по куче е-мэйл-алресов через почтовую программу (я ей, впрочем, не пользуюсь).
Как Нортон, так и AVPtool при проверке системы или папок зависают, как правило - при проверке WINDOWS\System32. Та же участь постигает AVZ, зависает наглухо в самом-самом конце выполнения первого требуемого согласно Правил стандартного скрипта, при проверке:
C:\WINDOWS\System32\dllcache\apps.chm/{CHM}//idh_w2_52004.htm
При попытке выполнить второй скрипт тоже зависает.
Поэтому приложить могу лишь лог проверки Hijack-ом.
В папке "Автозагрузка" -куча "левых" exe-шников, ЕМНИП, все одного размера, свободно удаляются вручную - но по ходу времени воспроизводятся (каждый раз, кажется, под новыми именами).
В папке C:\Documents and Settings\1\Application Data ("1" - это, соответственно, имя пользователя) лежит файл juzjf.exe, его удается "отложенно удалить" при помощи AVZ, но потом он снова появляется.
В папке C:\Documents and Settings\1 и в C:\WINDOWS\System32 лежит файл jyfliflaЋ.exe (на 100% насчет последнего символа не уверен, переписываю на другом компе с бумажки; в общем, кажется, это сербское "Ч"), удаляется вручную свободно, но потом снова воспроизводится.
В папке C:\WINDOWS\System32\ лежат также три файла со свежей датой: uti3otqy.sys (ЕМНИП, знакомое имячко, уже как-то боролся с таким), ndis.sys и chqzuvmz.sys
В папке C:\Documents and Settings\1\Local Settings\Temp несколько явно "левых" exe-шников, AVZ пока работает, их видит и опознает как опасные.
Проверку папки C:\Documents and Settings\1 при помощи AVZ выполнить удалось, если надо, могу разместить тут протокол.
Случай, как я понимаю, тяжелый, но надеюсь на удачу и заранее благодарю.
Последний раз редактировалось borbesk; 27.09.2010 в 10:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 52
Тоже не пошло. После 17 пункта задумывается надолго...
-
1.Профиксите в HijackThis
Код:
O4 - HKLM\..\Run: [jyflifvaЋ] C:\WINDOWS\System32\jyflifvaЋ.exe
O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\1\LOCALS~1\Temp\2963.exe
O4 - HKCU\..\Run: [jyflifvaЋ] C:\Documents and Settings\1\jyflifvaЋ.exe
- попробуйте сделать логи таким AVZ
-
-
Junior Member
- Вес репутации
- 52
Нет, по-прежнему логи делает только HijackThis.
Разместить его свежий лог?
-
попробуйте сделать лог Combofix в безопасном режиме
-
-
Junior Member
- Вес репутации
- 52
попробуйте сделать лог Combofix в безопасном режиме
Прошу прощения за задержку.
Удалось, прилагаю лог.
-
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys
Замените файлы с дистрибутива http://virusinfo.info/showthread.php?t=51654
c:\windows\System32\drivers\beep.sys восстановите по той же инструкции
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\chqzuvmz.sys
c:\program files\Common Files\Files.rar
c:\program files\Common Files\ajuzaju.scr
c:\program files\Common Files\fyvot.bat
Driver::
chqzuvmz
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Системные файлы заменить не удается. Правда, перед этим при входе в консоль восстановления и пароль администратора не спрашивают.
Скрипт ComboFix-а все равно выполнить или как ?
-
Не заменив файлы, продолжать лечение бессмысленно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Попытаюсь разобраться еще раз.
-
Junior Member
- Вес репутации
- 52
Снял опцию "автоматически входить с правами администратора в консоль восстановления" - чтоб уж наверняка. Ввел пароль администратора, все по инструкции... но заменить системные файлы все равно не удается. Отказывается, и все тут - "0 файлов распаковано" (у меня на дтстрибутиве они " *.sy_ ")... Дистрибутив тот, точно.
Можно ли еще что-нибудь сделать - или это уже все?
-
Попробовать это сделать с какого-либо LiveCD
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
С Live CD требуемые системные файлы распаковались-заменились.
Требуемый скрипт Combofix выполнил снова только в безопасном режиме.
-
- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
-
- Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 52
Карантин загружен. Ввел пароль "virus", как там было написано.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\002.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\243.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\381.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\466.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\485.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\631.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\899.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\997.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\g9c1yuupgg.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\hcc6ou70vrm.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\oojffbrr.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\pa6hm3oo.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\vlbc70dzuu6.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\zzvllhxx.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\6kk6bc7.exe');
DeleteFileMask('C:\Documents and Settings\1\Local Settings\Temp', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
Опцию "удалить зараженные файлы" я не выбирал. Правильно?
Среди зараженных файлов - элемент карантина из одной из летних проверок AVZ...