Printable View
Компьютер ведет себя подозрительно, постоянно пытается подключиться
к внешним адресам, вдобавок 2 раза "деактивировался" лицензионный xp professional, работает только в безопасном режиме. Полное ощущение того, что винда умирает безвозратно, Хелп плиз!!!!
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ubg16');
SetServiceStart('Ubg16', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg16.sys','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\basetutil32.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\Ubg16.sys');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
BC_ImportDeletedList;
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Ubg16');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16947[/url]).
Сделайте новые логи.
Сделано!, что дальше?
Выполните скрипт в AVZ:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Ubg16\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Ubg16');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Ubg16.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новый лог syscheck и приложите файл boot_clr.log из папки с AVZ.
Сделано!
Выполните такой скрипт -
[code]
function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.
[/code]
Повторите предыдущие 2 лога и добавьте SubSystems.log из каталога AVZ.
Готово
Скажите плиз, жить будет? :? и как имя подхваченного вируса
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
BC_QrSvc('NdisWon');
BC_DeleteSvc('NdisWon');
BC_Activate;
RebootWindows(true);
end.[/code]
Если в карантин что-то попадет, пришлите.
Сделайте логи, начиная с п.10 правил в нормальном режиме.
В карантине было 3 файла, третий не влез: C:\Proram Files\Trojan Remover\Trjscan.exe, тот же самый троян ремовер при загрузке в нормальном режиме ругается о невозможности удалить/остановить ubg16
virus.zip следует загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16947[/url]
впрочем в нем у вас чистые файлы, можно не загружать.
В логах ничего плохого больше не видно.
Можно еще отключить ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Большое человеческое
Попытался найти описание ubg16.sys - в поисковике нету, а в реестре есть:). Вроде активности нет, но удалить ветки реестра нельзя, что это - системный файл?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]76[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\basetutil32.dll - [B]Trojan.Win32.SubSys.d[/B] (DrWEB: Trojan.Okuks.based)[/LIST][/LIST]