ругается на winlogon, перед этим упали ассоциации exe файлов

Printable View

29.05.2008, 11:01
antivor

ругается на winlogon, перед этим упали ассоциации exe файлов

все в теме сказано, помогите добить.
логи прилагаю.
ассоциации все восстановлены, система работает почти нормально. на вид. однако не все в порядке точно
29.05.2008, 11:43
Numb

На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки: [code]R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: H - {3E94C28B-76C9-456f-9A7D-E80C6B2A4380} - matahsw.dll (file missing)
O2 - BHO: (no name) - {81A35F39-4850-474E-92C9-B4CF283207E0} - (no file)
O2 - BHO: Flash Module - {B8754114-53BA-4b82-9B87-AB07B3AC07BB} - btasv.dll (file missing)
O2 - BHO: (no name) - {E43C06B3-3518-4A2D-847B-D155A324AF86} - (no file)
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\yfK51.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cmylpaph.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\wcH51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\vbG73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\kpU84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\flQ62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ekP73.sys','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\winlogon.exe','');
TerminateProcessByName('c:\windows\winlogon.exe');
DeleteFile('c:\windows\winlogon.exe');
BC_DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\srvany.exe');
BC_DeleteFile('C:\WINDOWS\system32\srvany.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Afk27.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Afk27.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\ekP73.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\flQ62.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Jqw05.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\kpU84.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\vbG73.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\wcH51.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\cmylpaph.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\yfK51.sys');
BC_Deletesvc('yfK51');
BC_Deletesvc('wwlreaji');
BC_Deletesvc('wcH51');
BC_Deletesvc('vbG73');
BC_Deletesvc('kpU84');
BC_Deletesvc('Jqw05');
BC_Deletesvc('ekP73');
BC_Deletesvc('flQ62');
BC_Deletesvc('Reset 5');
BC_Deletesvc('PO system service');
BC_Deletesvc('Kbdctdiru');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=23647[/url] , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
29.05.2008, 13:25
antivor

частично сделал

скрипты выпонены. карантин закачал.
скрипты чуть позже, пока не успеваю.
30.05.2008, 08:53
antivor

логи

сделал, смотрите!
30.05.2008, 09:38
Numb

Пофиксите с помощью Hijackthis строку: [code]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('ddsxeiservice.sys');
DeleteFile('C:\WINDOWS\System32\drivers\ddsxeiservice.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\ddsxeiservice.sys');
BC_DeleteSvc('ddsxeiservice');
BC_DeleteSvc('tcpsr');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

В дополнение, для статистики, в карантине были:
C:\WINDOWS\system32\WinCtrl32.dll - [b]Trojan.DownLoader.61474[/b]
C:\WINDOWS\system32\WLCtrl32.dll - [b]Trojan.DownLoader.59701[/b]
C:\WINDOWS\winlogon.exe - [b]Trojan.Spambot.3202[/b]
(по классификации DrWeb)
30.05.2008, 12:22
antivor

Логи новые

Сделал все, новые логи сделал.
31.05.2008, 21:57
Numb

Еще раз выполните скрипт в таком виде: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
bc_DeleteSvc('tcpsr');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки, повторите логи, начиная с п. 10 правил (для экономии вашего же времени, лог лечения AVZ можно не делать, только лог исследования системы.)
04.06.2008, 06:59
antivor

ситуация, к сожалению, усложнилась. в момент моего отстутсвия системник был поюзан хозяином. судя по всему с выходом в инет.
почему я так думаю - в логах увидите, появилось кое-что новенькое :(
В общем выкладываю...
давайте добьем эту заразу.
05.06.2008, 06:49
antivor

хотел уточнить, последний скрипт, указанные Numb, выполнен. логи сделаны после его выполнения.
05.06.2008, 08:46
Гриша

Отключите восстановление системы!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\iykers.exe','');
QuarantineFile('C:\WINDOWS\Temp\BN2B.tmp','');
QuarantineFile('C:\WINDOWS\system32\msindeo.dll','');
DeleteFile('C:\WINDOWS\system32\msindeo.dll');
DeleteFile('C:\WINDOWS\Temp\BN2B.tmp');
DeleteFile('C:\System Volume Information\_restore{3EAA97FC-EA43-45D4-96D7-3939AC68D37C}\RP1\A0001068.dll');
DeleteFile('C:\System Volume Information\_restore{3EAA97FC-EA43-45D4-96D7-3939AC68D37C}\RP1\A0001069.dll');
DeleteFile('C:\iykers.exe');
DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин и повторите логи.
05.06.2008, 16:05
antivor

новый комплект логов. скрипт выполнил. восстановление системы отрубил.
05.06.2008, 16:10
Гриша

Теперь чисто,почти:)

Нужно обновить систему:

[QUOTE]Platform: Windows XP [B]SP2[/B] (WinNT 5.01.2600)
MSIE: Internet Explorer [B]v6.00 SP2 [/B](6.00.2900.2180)[/QUOTE]

Жалобы есть?
05.06.2008, 21:06
antivor

Жалоба одна - хозяин компа )))) одолел.
спасибо большое за помощь, завтра отдам ему железо, пущай дальше мучит, может, научится чему. хотя вряд ли.
про обновление понял, благодарю еще раз!