Ошибки.Вирус.

Printable View

20.06.2008, 07:37
Пушистый

Вложений: 1

Ошибки.Вирус.

Здравствуйте!
Значит проблемка такая...
Как обычно вирусня вынесла доктор Веб, + не ставится каспер (доктор веб предварительно вычистил), в середине установки каспера компьютер перегружается, программы не хотят запускаться.

АВЗ не запускается так же (расширение переименовывал)

Поэтому очень надеюсь на совет как начать лечение только по одному логу
20.06.2008, 09:44
Макcим

Скачайте эту сборку AVZ [url]http://virusinfo.ifolder.ru/7043835[/url] и попробуйте сделать логи.
20.06.2008, 09:50
Bratez

Для начала загрузитесь с какого-нибудь Live CD или в консоль восстановления и удалите следующие файлы:
C:\Program Files\Common Files\Microsoft Shared\syscts.exe
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\158117\158117.dll
C:\WINDOWS\nldfmtappdm.dll
C:\WINDOWS\winlogon.exe
C:\WINDOWS\System32\drivers\svchost.exe
C:\WINDOWS\system32\win_66.dll
C:\WINDOWS\system32\drivers\spools.exe
C:\Documents and Settings\Admin\cftmon.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\herjek.exe
C:\WINDOWS\gnowmebk.dll
C:\Documents and Settings\Admin\ie_updates3r.exe

Потом запустите свою систему и пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Microsoft Shared\syscts.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
O2 - BHO: 158117 helper - {427B1FD8-2123-4334-A7D8-7A497363914B} - C:\WINDOWS\system32\158117\158117.dll
O2 - BHO: WRL Advisor - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll
O2 - BHO: Windows Internet Security - {81dbab16-ca34-c433-be80-11e6692428a8} - csrcs.dll (file missing)
O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing)
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Admin\cftmon.exe
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Admin\cftmon.exe
O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
O20 - AppInit_DLLs: C:\WINDOWS\system32\win_66.dll
O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\system32\win_66.dll
O21 - SSODL: pxgdslro - {D766500E-2E84-4574-BF7D-6FEF13823518} - C:\WINDOWS\pxgdslro.dll (file missing)
O21 - SSODL: gnowmebk - {78379341-E25E-4058-8026-278690396E7E} - C:\WINDOWS\gnowmebk.dll
[/code]
Перезагрузитесь и попробуйте сделать все логи.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

P.S. Вероятно, после удаления spools.exe перестанут запускаться exe-файлы, тогда запускайте правой кнопкой через "Запуск от имени...".
20.06.2008, 14:21
Пушистый

Логи АВЗ
20.06.2008, 16:17
Bratez

Нда... знатный зверинец, давненько такого не видел ;)

Пофиксите в HijackThis то что указано в сообщении #3.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Winrx38.sys','');
QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe','');
QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q5.exe','');
QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q2.exe','');
QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q1.exe','');
QuarantineFile('c:\windows\system32\win_66.dll','');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('C:\WINDOWS\nldfmtappdm.dll','');
QuarantineFile('C:\WINDOWS\system32\158117\158117.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\syscts.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\pxgdslro.dll','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\Program Files\Common Files\System\soundmgr.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Admin\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lqV51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dim72.sys','');
QuarantineFile('c:\windows\system32\mbdis.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxd38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ocke34.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\khlkki.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Dim72.sys','');
QuarantineFile('C:\WINDOWS\system32\win_66.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\WINDOWS\gnowmebk.dll','');
QuarantineFile('C:\Documents and Settings\Admin\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Admin\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\gnowmebk.dll');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\win_66.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Dim72.sys');
DeleteFile('C:\WINDOWS\system32\drivers\khlkki.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ocke34.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxd38.sys');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('c:\windows\system32\mbdis.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Dim72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lqV51.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx38.sys');
DeleteFile('C:\Documents and Settings\Admin\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Program Files\Common Files\System\soundmgr.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\pxgdslro.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\syscts.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\system32\158117\158117.dll');
DeleteFile('C:\WINDOWS\nldfmtappdm.dll');
DeleteFile('c:\autoex.dll');
DeleteFile('c:\windows\system32\win_66.dll');
DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q1.exe');
DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q2.exe');
DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q5.exe');
DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Winrx38.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('mnmsrvcwmiapsrv');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('windows internet security');
BC_DeleteSvc('aic32p');
BC_DeleteSvc('dim72');
BC_DeleteSvc('Winxd38');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('bdfdll');
BC_DeleteSvc('lqv51');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Winrx38');
BC_DeleteSvc('ocke34');
BC_Activate;
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
DelBHO('{81dbab16-ca34-c433-be80-11e6692428a8}');
DelBHO('{72976A08-625C-41C1-AD59-780F96CC2473}');
DelBHO('{427B1FD8-2123-4334-A7D8-7A497363914B}');
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24965[/url]).

Сделайте новые логи, начиная с п.10 правил.
20.06.2008, 16:40
Макcим

[QUOTE=Пушистый;243935]Логи АВЗ[/QUOTE]Значит запустилась AVZ на которую я дал ссылку?
23.06.2008, 11:10
Пушистый

Вложений: 3

прежде всего проше прощения за то что так надолго расятнул лечение,знаю что так делать низя..
Прошу пмомчь далее

[quote=Maxim;244085]Значит запустилась AVZ на которую я дал ссылку?[/quote]
Да спасибо запустилась, но только один раз

А вообщем ситуация ненамного изменилась, каспер все так же не ставится, программы не запускаются логи новые прикрепляю карантин тоже
23.06.2008, 12:26
PavelA

Да, уж. Остатки Доктора Веба, немного Касперского и куча зловредов.

Через IceSword удалить
'C:\WINDOWS\system32\drivers\khlkki.sys'
'C:\WINDOWS\system32\WinCtrl32.dll
'C:\WINDOWS\system32\drivers\symavc32.sys'
После этого профиксить в Хиджаке строчку с
WinCtrl32.dll

Далее скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
DeleteService('aic32p');
SetServiceStart('aic32p', 4);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\khlkki.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('f:\000\kkpawlhlrz.pif','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\khlkki.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После этого всего сделать новые логи и загрузить карантин.

'f:\000\kkpawlhlrz.pif' - что вот это такое знаете?
23.06.2008, 12:58
Пушистый

[quote=PavelA;245431]

'f:\000\kkpawlhlrz.pif' - что вот это такое знаете?[/quote]

Да знаю, это сборка АВЗ ссылку на которую мне дал Maxim:)
23.06.2008, 13:09
PavelA

Тогда эту строчку можно удалить из скрипта. ;)
24.06.2008, 08:53
Пушистый

Вложений: 3

Новые логи+новый карантин.
Дела по прежнему неважнецкие
24.06.2008, 10:47
PavelA

Здоровый больно карантин получился.
Попробуй прислать отдельно, если есть в карантине:
'C:\WINDOWS\system32\drivers\khlkki.sys'
'C:\WINDOWS\system32\ntoskrnl.exe'

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Да, не. Стало немного чище. Одного руткита убили, Вигона тоже обрезали

Вот это можно профиксить:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Да, и эти за компанию:
[CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com[/CODE]
24.06.2008, 13:26
Пушистый

C:\WINDOWS\system32\drivers\khlkki.sys - этот вообще найти немогу никак

C:\WINDOWS\system32\ntoskrnl.exe - этот отправил в караннтин

Как этого нигадяя каспера установить :O
24.06.2008, 14:10
PavelA

Ключик вот этот проверь в реестре:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options[/CODE]
Если там что-то есть,то пускай под нож.
24.06.2008, 14:25
Пушистый

прошу прощения за непонятливость..
все что в ветке есть (а есть там много всего) или именно этот ключ?
24.06.2008, 14:36
Bratez

Хорошо, что переспросили - все что там есть не надо!
Только те ключи, которые по имени совпадают с исполняемыми файлами антивирусов, например [b]avp.exe[/b].

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

А вот я нашел свой скрипт для поиска таких ключей:
[code]
var s: array[13] of string; r: string; i: integer;
begin
s:=['avp.exe','avz.exe','ekrn.exe', 'egui.exe','ehttpsrv.exe',
'nod32krn.exe','nod32kui.exe', 'spidernt.exe', 'hijackthis.exe',
'bdss.exe', 'vsserv.exe', 'avgnt.exe', 'avguard.exe'];
AddToLog('Searching for IFEO keys:');
for i:=0 to 12 do
begin
r := 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\'+s[i];
if RegKeyExists('HKLM',r) then
begin
AddToLog(s[i]+' - exists!');
if RegKeyParamExists('HKLM',r, 'Debugger') then
AddToLog('Debugger for '+s[i]+' detected: '+RegKeyStrParamRead('HKLM', r,'Debugger'));
RegKeyDel('HKLM', r);
end
else
AddToLog(s[i]+' - none');
end;
SaveLog(GetAVZDirectory + 'ifeo.log');
end.[/code]
Выполните его и посмотрите файл ifeo.log в папке с AVZ.
22.02.2009, 06:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\рабочий стол\\avz4\\avz4\\avz.com - [B]Virus.Win32.Sality.z[/B] (DrWEB: Win32.Sector.5)[*] c:\\documents and settings\\admin\\рабочий стол\\1\\1.bat - [B]Virus.Win32.Sality.z[/B] (DrWEB: Win32.Sector.5)[*] c:\\documents and settings\\124134\\рабочий стол\\avz4\\avz4\\avz.com - [B]Virus.Win32.Sality.z[/B] (DrWEB: Win32.Sector.5)[*] c:\\recycler\\s-1-5-21-861567501-2025429265-839522115-1003\\dc89.pif - [B]Virus.Win32.Sality.z[/B] (DrWEB: Win32.Sector.5)[*] c:\\windows\\system32\\dllgh8jkd1q7.exe - [B]Trojan-Downloader.Win32.Tibs.aak[/B] (DrWEB: Trojan.Packed.512)[*] c:\\windows\\system32\\drivers\\symavc32.sys - [B]Rootkit.Win32.Agent.aih[/B] (DrWEB: Trojan.Sentinel)[/LIST][/LIST]