Хелп

На днях Антивирус оповестил то что вебвирус пытается проникнуть ...
Отклонил!
Потом подумал что все же надо проскнить системку!!!
И , воть те на этот же вирус на компе , удалил .(странно )
Пошел в безопасник просканил заново ...ни чего не нашел.
Решил проверить AVZ, Сureit ....первый нашел еще 2 , а вот второй "полетел"
Нашел 5 разновидностей троянов и тот в том числе ,после проверил своим Антвирусом , и тот нашел еще записи в реестре ....УДАЛИЛ .
С радостью запускаю системку, и опять мои Антивирус находит ... =(
Скачал обновления , не помогло !!!
Компьютер заражен =(.

Clawm , Касперский с последними базами не видет !!!
а, cureit и avz не справляются.
Хелп

Файлы прикрипились :?!
[quote]Файл сохранён как 070702_021151_virusinfo_cure_468826a783582.zip
Размер файла 1400
MD5 1d652fd9c793bea31cb49363ddf4b84c [/quote]
[color=red]Карантин (который virusinfo_cure) надо присылать по ссылке вверху темы.[/color]

Все логи есть скажите какие еще нужны ,.... просто я не вижу что приерипилось а что нет ... вообще ужасно отображается страничка!!!!
Из -за виря ...

AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe','');
DeleteFile('C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportAll;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите файл 2024.exe из карантина [url=http://virusinfo.info/upload_virus.php?tid=10756]по ссылке вверху темы[/url]. А к сообщению прикрепите boot_clr.log из каталога AVZ.

[quote=C_L_S;119659]Все логи есть скажите какие еще нужны ,.... просто я не вижу что приерипилось а что нет ... вообще ужасно отображается страничка!!!!
Из -за виря ...[/quote]
Вот залил что попросили
Файл сохранён как070702_022608_virusinfo_cure_46882a007cdf9.zipРазмер файла1400MD51d652fd9c793bea31cb49363ddf4b84c

[size="1"][color="#666686"][B]Добавлено через 10 минут[/B][/color][/size]
В карантине не видно файла с исполняемым раширением (еxe)

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
Скрипт выполнил!!!

[size="1"][color="#666686"][B]Добавлено через 9 минут[/B][/color][/size]
Вот зазиповал весь карантин и скинул
Файл сохранён как 070702_024535_Quarantine_46882e8f114a1.zip
Размер файла 8286847
MD5 294aa2835373d227434c8ab45c569de8

Карантин в раре , а рар в зипе + файл который вы просили boot_clr.log
НА АРХИВЕ НЕТ пароля

[size="1"][color="#666686"][B]Добавлено через 5 минут[/B][/color][/size]
Увидел что в AVZ можно просматривать карантин !!
Увидел там название 2024.exe размер файла - 0
Его высылать всеравно :?! или достаточно того что выслал :?!

Лог (boot_clr.log) сюда прикрепите. Архив без пароля с очень большой вероятностью антивирус у хостера замочил. Повторять отправку пока не надо, раз файл нулевого размера. Сначала дайте лог посмотреть.

Закачал пароль : virus
=)
Файл сохранён как 070702_030427_boot_clr_468832fb667d7.zip
Размер файла 276
MD5 01cbf11e9295ebe7cd65a0a483b5fc4d

Сказано же - лог сюда! В тему! Открытым текстом и без пароля.

Quarantine path: \??\C:\AVZ\avz4\Quarantine\2007-07-02\
QuarantineFile \??\C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe - failed (0xC0000034)
QuarantineFile \??\C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe - failed (0xC0000034)
DeleteFile \??\C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe - failed (0xC0000034)
DeleteFile \??\C:\WINDOWS\system32\svshost.dll - failed (0xC0000034)
-- End --

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\shwdltms.bin','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.

[U]Сейчас выполню скрипт , но прежде хочу выложить :
1 [/U]архив virus в котором содержится около 8 подозрительных файлов (явных левых например переименовый stpd) [url]http://slil.ru/24583829[/url]

Архив Log в котором содержится последнии логи
[url]http://slil.ru/24583782[/url]

[size="1"][color="#666686"][B]Добавлено через 27 минут[/B][/color][/size]
Скрипт выполнил .
в папке Quarantine :

bcqr00001.ini , содержание :
[InfectedFile]
Src=\??\C:\Program Files\Internet Explorer\shwdltms.bin
Infected=bcqr00001.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034

bcqr00002.ini содержание :
[InfectedFile]
Src=\??\C:\Program Files\Internet Explorer\shwdltms.bin
Infected=bcqr00002.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe');
DeleteFile('C:\Program Files\Internet Explorer\shwdltms.bin');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('GNSHP');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis, что останется:
[code]
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\N0N2ME~1.COM\LOCALS~1\Temp\2024.exe
O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O21 - SSODL: SysChk - {CF485040-A50A-482D-AA7C-0F257191D916} - C:\Program Files\Internet Explorer\shwdltms.bin (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
[/code]
еще раз перезагрузитесь и сделайте все 3 лога по правилам.

Вот !!!


Logfile of HijackThis v1.99.1
Scan saved at 1:04:16, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\K-Meleon\k-meleon.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D7DF408-259C-488F-8348-7F9973A5BBFE}: NameServer = 192.168.0.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9EFC5C5-3C31-4477-9CA1-E1D25B6344C8}: NameServer = 212.1.224.34

212.1.230.111
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky

Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт -

C:\WINDOWS\system32\imapi.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт

- C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner -

%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program

Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт -

C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. -

C:\programs\security\VMware\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common

Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт -

C:\WINDOWS\system32\wbem\wmiapsrv.exe

Теперь чисто. Проблема все еще проявляется?

Уфффф сомневаюсь что чисто =)

Вопервых при заходе в системку отрубается Штатный файрвол =)
(а, о чем это говорит :? =))

Проблеммы остались :
Полетели некторые Dll
ТЕперь обращаться не могу к панели управеления(выдает ошибку)
Так же установка удаления программ(выдает ошибку)
run32.dll

sfc не могу запустить , ибо с какого cd устанавливал винду его нема =).
а, с другими отказывается хотя версия одна и тажа =(

эххх не было печали !!!! =)
У второй системке (голенькая) тоже отрубается штатный файрвол....
Я с помощью нее сканил на вирусы , что бы хоть как то попасть в систему, в итоге в безопасник заработал ... =)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\svshost.dll - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: BackDoor.Dld.1163)[*] \\2007-07-02.rar - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: archive: BackDoor.Dld.1163)[/LIST][/LIST]