Вирус ??

Printable View

17.05.2008, 20:20
2nd

Вложений: 3

Вирус ??

Ситуация типовая, после загрузки WinXP SP2 - процесс winlogon грузит процессор практически на 100%. Дальше практически ничего сделать нельзя. К примеру попытка сходить в окно отключения 'восстановления системы' заняла более двух часов. Добится хоть-какой-то работы от avz удается только выставлением ему наивысшего приоритета.

Загрузка с другого носителя и проверка выявила зараженные файлы, которые были удалены. На данный момент сканеры ничего не находят.
В режиме сканирования с максимальными настройками AVZ, показывала

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод APICodeHijack.JmpTo[00384BC6]

судя по RKUnhooker это проделки avsspc.dll - это криптопровайдер из системы клиент-банк. Я убрал эту dll - AVZ сказал 'опасно маскировка процесса'. И никаких подробностей.

Сканирование GMER стабильно приводит к BSOD в его драйвере.

p.s. при выполнении скрипта
"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"
возникает ошибка, о чем винда хочет сообщить MS, но скрипт дорабатывает и создает лог.
17.05.2008, 20:26
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\totacon.exe','');
BC_DeleteSvc('Muh47');
QuarantineFile('Muh47.sys','');
QuarantineFile('STI Simulator.sys','');
QuarantineFile('D:\WINDOWS\system32\subsys.dll','');
QuarantineFile('D:\WINDOWS\system32\basebxm32.dll','');
DeleteFile('D:\WINDOWS\system32\basebxm32.dll');
DeleteFile('D:\WINDOWS\system32\subsys.dll');
DeleteFile('Muh47.sys');
DeleteFile('D:\WINDOWS\totacon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
17.05.2008, 21:41
2nd

Вложений: 3

система начала дышать - огрормное СПАСИБО !,
карантин отправил

muh47.sys у меня был удален еще до карантин, он есть в бэкапе, там же есть кусок STI Simulator = 'PAStiSvc.exe' если нужно могу положить.

Еще раз спасибо !

Можно узнать что это было и кто его может своевременно остановить ?
17.05.2008, 21:51
V_Bond

пофиксите
[code]
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
20 - Winlogon Notify: subsys - subsys.dll (file missing)
[/code]
вот эти два файлика найдите при помощи авз ...
D:\DOCUME~1\KRAFT\LOCALS~1\Temp\KMAIGP.exe
STI Simulator.sys
и пришлите по правилам ...
17.05.2008, 22:44
2nd

[QUOTE=V_Bond;228319]пофиксите
[code]
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
20 - Winlogon Notify: subsys - subsys.dll (file missing)
[/code]
[/QUOTE]
пофиксил

[QUOTE]
вот эти два файлика найдите при помощи авз ...
D:\DOCUME~1\KRAFT\LOCALS~1\Temp\KMAIGP.exe[/QUOTE]
отправил

[QUOTE]STI Simulator.sys
и пришлите по правилам ...[/QUOTE]
этот не найден
17.05.2008, 22:55
V_Bond

D:\Documents and Settings\KRAFT\Local Settings\Temp\KMAIGP.exe _ чистый ...
выполните скрипт ...
[code]
begin
BC_DeleteSvc('STI Simulator');
BC_Activate;
RebootWindows(true);
end.
[/code]
больше ничего подозрительного ...
какие -то проблемы остались ?
17.05.2008, 23:02
2nd

[QUOTE=V_Bond;228338]
больше ничего подозрительного ...
какие -то проблемы остались ?[/QUOTE]
пока не заметно, еще раз спасибо !
22.02.2009, 05:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\basebxm32.dll - [B]Trojan.Win32.Pakes.cws[/B] (DrWEB: Trojan.Okuks.based)[*] d:\\windows\\system32\\subsys.dll - [B]Trojan-Downloader.Win32.Small.vuy[/B] (DrWEB: Trojan.DownLoader.60052)[*] d:\\windows\\totacon.exe - [B]Email-Worm.Win32.Zhelatin.zt[/B] (DrWEB: Trojan.Packed.460)[/LIST][/LIST]