зараза в winlogon.exe

Здравствуйте!
Вот столкнулся с такой дрянью... в сейф моде вычистить с помощью AVZ не удается прикрепляю логи
если потребуется могу и вирусы

1. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\Drivers\Xbq26.sys','');
DeleteFile('C:\Windows\System32\Drivers\Xbq26.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
2. Сделайте дополнительный лог в безопасном режиме:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
и лог HijackThis.

сделал все как просили
[COLOR=silver][B]1. AVZ/Файл/Стандартные скрипты[/B] - отметить #1 - [/COLOR][B][COLOR=silver]Выполнить[/COLOR] результат тут [/B][URL="http://virusinfo.info/attachment.php?attachmentid=20346&stc=1&d=1192698198"]avz_log.txt[/URL]
[COLOR=silver][B]2. Файл/Исследование системы[/B] - переключить[I] "Только активные службы и драйверы"[/I] на [B]"Все службы и драйверы"[/B] -[/COLOR][B][COLOR=silver]Пуск/Сохранить протокол[/COLOR][COLOR=blue] результат тут [/COLOR][/B][COLOR=blue][URL="http://virusinfo.info/attachment.php?attachmentid=20345&stc=1&d=1192698198"]avz_sysinfo.zip[/URL][/COLOR]
ну и хайджкек

заметил такую тонкость грузится только в safe mode с сетевыми драйверами
при этом в момент загрузки пишет нажмите ESC чтоб не загружать драйвер UP55bus.sys, если отказаться(тоесть не грузить драйвер этот) то система перед окном входа уходит в ребут

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

и еще пробовал восстановить систему с помощью sfc /scannow в логах пишет что нашел испоренные файлы без цифровой подписи

[QUOTE]
Тип события: Уведомление
Источник события: Windows File Protection
Категория события: Отсутствует
Код события: 64020
Дата: 17.10.2007
Время: 1:13:11
Пользователь: Н/Д
Компьютер: МАСИМКА
Описание:
Защита файлов Windows при сканировании обнаружила, что системный файл c:\windows\system32\photowiz.dll имеет неправильную подпись. Этот файл восстановлен до исходной версии для обеспечения стабильности системы. Версия системного файла 5.1.2600.2180.
[/QUOTE]
[QUOTE]
Тип события: Уведомление
Источник события: Windows File Protection
Категория события: Отсутствует
Код события: 64004
Дата: 17.10.2007
Время: 1:01:25
Пользователь: Н/Д
Компьютер: МАСИМКА
Описание:
Не удалось восстановить исходную, правильную версию защищенного системного файла c:\windows\system32\winlogon.exe. Номер версии неправильного файла 5.1.2600.2180 Конкретный код ошибки: 0x800b0100 [В этом объекте нет подписи.
].[/QUOTE]
[QUOTE]
Тип события: Уведомление
Источник события: Windows File Protection
Категория события: Отсутствует
Код события: 64020
Дата: 17.10.2007
Время: 1:01:24
Пользователь: Н/Д
Компьютер: МАСИМКА
Описание:
Защита файлов Windows при сканировании обнаружила, что системный файл c:\windows\system32\winlogon.exe имеет неправильную подпись. Этот файл восстановлен до исходной версии для обеспечения стабильности системы. Версия системного файла 5.1.2600.2180.
[/QUOTE]
[QUOTE]
Тип события: Уведомление
Источник события: Windows File Protection
Категория события: Отсутствует
Код события: 64004
Дата: 17.10.2007
Время: 1:12:32
Пользователь: Н/Д
Компьютер: МАСИМКА
Описание:
Не удалось восстановить исходную, правильную версию защищенного системного файла c:\windows\system32\ntsd.exe. Номер версии неправильного файла 5.1.2600.0 Конкретный код ошибки: 0x800b0100 [В этом объекте нет подписи.
].
[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

кстате очень похожий случай
[url]http://virusinfo.info/showthread.php?t=13321[/url]
в этой теме токо дублер winlogon.exe в папке пользователя TEMP я прибил

пофиксите ...
[code]
O20 - Winlogon Notify: €ђ - €ђ (file missing)
O20 - Winlogon Notify: АР - АР (file missing)
O20 - Winlogon Notify: ИШ - ИШ (file missing)
O20 - Winlogon Notify: (Ра - (Ра (file missing)
O20 - Winlogon Notify: @иш - @иш (file missing)
O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll
O20 - Winlogon Notify: instcat- - C:\WINDOWS\SYSTEM32\instcat.dll
O20 - Winlogon Notify: Pш - Pш (file missing)
O20 - Winlogon Notify: X - X (file missing)
O20 - Winlogon Notify: ` - ` (file missing)
O20 - Winlogon Notify: * ( - * ( (file missing)
O20 - Winlogon Notify: р˜Ё - р˜Ё (file missing)
O20 - Winlogon Notify: ш*° - ш*° (file missing)
[/code]
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('instcat.dll','');
QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\poof','');
QuarantineFile('\??\C:\WINDOWS\system32\kprof','');
DeleteFile('\??\C:\WINDOWS\system32\kprof');
DeleteFile('\??\C:\WINDOWS\system32\poof');
DeleteFile('System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Windows\System32\Drivers\Xbq26.sys');
DeleteFile('Xbq26.sys');
DeleteFile('instcat.dll');
BC_ImportDeletedList;
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('smtpdr');
BC_DeleteSvc('Xbq26');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи...

Выполните скрипт:
[code]begin
BC_QrFile('C:\WINDOWS\system32\Drivers\ippflt.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\System.sys');
BC_QrFile('C:\WINDOWS\system32\System.sys');
BC_QrFile('C:\WINDOWS\System.sys');
BC_QrFile('System.sys');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Xbq26');
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин по правилам.

проделал и скрипт и вот новые логи
и карантин послал

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\AppCert\wsil32.dll');
DeleteFile('C:\WINDOWS\system32\AppCert\wnl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ippflt.sys');
DeleteFile('C:\WINDOWS\system32\instcat.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://evmhedf.footchild.cn/?262495014733
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://evmhedf.footchild.cn/?262495014733
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://evmhedf.footchild.cn/?262495014733
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://evmhedf.footchild.cn/?262495014733
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O20 - Winlogon Notify: 8ар - 8ар (file missing)
O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll
O20 - Winlogon Notify: р�Ё - р�Ё (file missing)
[/code]
Сделайте новые логи по правилам + дополнительный в безопасном режиме.

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Xbq26.sys - [b]Rootkit.Win32.Agent.it[/b]
instcat.dll - [b]Email-Worm.Win32.Locksky.bh[/b]
wnl32.dll - [b]Trojan-Downloader.Win32.Agent.dng[/b]
+ еще пара свежаков, потом напишу названия...

Неуловимый [b]system.sys[/b] остался. Когда будете делать доп. лог, после запуска стандартного скрипта #1 (антируткит) попробуйте поискать system.sys через Сервис - Поиск файлов на диске. Если найдется - поместите в карантин и пришлите по правилам.

Сделал в Безопасном режиме доп логи.
ЗЫ не удаляются эти файлы, по последнему скрипту, я его повторил после перезагрузки, он опять написал, что они есть что удалять.. загружаюсь только в безопасном режиме с сетевыми драйверами (в просто Безопасный режим не грузится) при загрузке каждый раз спрашивает загрузить драйвер Up55Bus.sys если отказать то тоже не грузится винды

Судя по этим логам, скрипт отработал успешно.
Ждем логи AVZ в нормальном режиме (п.8-10 правил).
Что с поиском system.sys?

system.sys не нашел не в безопасном не в нормальном режиме после запуска 1 скрипта(о\логи отработки первых скриптов прилагаю)

Ждем логи AVZ в нормальном режиме прилагаю также отправляю вам вирусы которые сам с архивировал по правилам

1. UP55 это не вирус, это драйвер от какого-то виртуальника (DT, Alcohol и т.п.).
2. Правила вы похоже читали по диагонали, перечитайте упомянутые п.8-10 (самый первый лог таки правильно был сделан!).
3. Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\nwrdr.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Если что-то попадет в карантин - пришлите.

прошу простить за неправильные логи...
вот вроде по скрипту сделал и карантин прицепил

уберите карантин из темы ...
C:\WINDOWS\system32\drivers\symavc32.sys [B]Rootkit.Win32.Agent.it[/B]
отключите восстановление системы....
очистите корзину ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys ');
BC_ImportDeletedList;
BC_DeleteSvc('symavc32');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
C:\WINDOWS\system32\DRIVERS\nwrdr.sys поищите через AVZ-сервис поиск файлов на диске ...
если найдется пришлите по правилам...
повторите логи...

странно восстановление отключал сразу как оно включилось не понятно
корзину очистил
скрипт выполнил
[QUOTE]C:\WINDOWS\system32\DRIVERS\nwrdr.sys поищите через AVZ-сервис поиск файлов на диске ...[/QUOTE]
файл нашелся в 2х папках еще в DllCache
делаю добавить к карантину... не добавляет карантин пуст... хотя файл в папке С:\WINDOWS\system32\DRIVERS\ вижу и могу его с архивировать

логи ща будут

логи
также сделал еще в безопасном режиме иследование сисетмы

C:\WINDOWS\system32\DRIVERS\nwrdr.sys - попробуйте переименовать заархивировать с паролем и прислать по правилам ....

[quote=V_Bond;143566]C:\WINDOWS\system32\DRIVERS\nwrdr.sys - попробуйте переименовать заархивировать с паролем и прислать по правилам ....[/quote]
а переименовывать для чего?

[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]

прикрепил

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-57989841-1343024091-839522115-1003\\dc16.exe - [B]Trojan-Dropper.Win32.Agent.bzd[/B] (DrWEB: BackDoor.Bulknet.71)[*] c:\\system volume information\\_restore{9c27793b-3be3-4e5b-9711-8044f6af738d}\\rp1\\a0006266.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\appcert\\wnl32.dll - [B]Trojan-Downloader.Win32.Agent.dng[/B] (DrWEB: Trojan.DownLoader.35858)[*] c:\\windows\\system32\\drivers\\symavc32.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\drivers\\xbq26.sys - [B]Rootkit.Win32.Agent.it[/B] (DrWEB: Trojan.NtRootKit.371)[*] c:\\windows\\system32\\instcat.dll - [B]Email-Worm.Win32.Locksky.bh[/B] (DrWEB: Trojan.Proxy.1870)[/LIST][/LIST]