Вирус не обнаруживается!

Printable View

27.10.2008, 10:07
gk17

Вложений: 3

Вирус не обнаруживается!

Система WinXP Home SP2. Уже 2-3 месяца одинаковая история: avz находит перехватчика в kernel после каждой перезагрузки с новым именем (типа sptd.sys, splx.sys, spzw.sys и т.п.). обозначенный файл отсутствует.
Попытка установить SP3 в конце копирования привела к ошибке типа "Handle error" и "File not found". После этого при перезагрузке - синий экран (в safe mode - тоже). Восстановил обратно только вручную из бэкапа сервиспака по логу spuninst.txt, загрузившись в bartpe.

Команда sfc /scannow вылетает с ошибкой о 0x000006ba [The RPC server is unavailable]. Попытался переустановить XP в режиме обновления из дистриб. XP SP3. При копировании было указано на недостающий файл ax02l71h.sys, при рестарте пишет, что файла нет, - reboot. Ссылку на файл нашел в C:\$WIN_NT$.~BT\unsupdrv.inf:
[Version]
Signature = "$Windows NT$"

[AddReg.ax02l71h]
[Files.ax02l71h]
ax02l71h.sys,system32\drivers
[HardwareIds.ax02l71h]
*PNPA000=ax02l71h
ACPI\PNPA000=ax02l71h
[Devices]
ax02l71h

DRWeb сканер ничего не нашел, хотя в system32\drivers наплодилась масса явно левых "драйверов" типа a302.sys-a314.sys; adv01nt5.dll-adv11nt5.dll; ati1btxx.sys и т.д. разной длины.

После перезагрузки удалось поймать 2 новых файла путём сравнения с бэкапом system32\drivers. Один - залоченный, вынул с пом. AVZ. Добавил их в архив virusinfo_cure.zip, закачивать без Вашего запроса не стал.

Памажите, плз, кто чем может...
27.10.2008, 11:27
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
QuarantineFile('dot3gpclnt.dll','');
DeleteService('WINIO');
QuarantineFile('C:\WINDOWS\system32\winio.sys','');
DeleteFile('C:\WINDOWS\system32\winio.sys');
DeleteFile('dot3gpclnt.dll');
DeleteFile('C:\WINDOWS\system32\explorer.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
27.10.2008, 12:32
gk17

Вложений: 2

Карантин залил. Добавил туда ещё файлы, вынутые ранее.
после выполнения скрипта (кажется, окно об окончании успело промелькнуть). вместо перезагрузки закрылись все приложения и оболочка. Только курсор мыши на пустом экране. Пришлось жать reset. Пробовал запускать два раза, результат не изменился.
27.10.2008, 12:47
V_Bond

в логах ничего зловредного
27.10.2008, 17:16
gk17

А нижеследующее по какой причине появляется?
И почему с каждой перезагрузкой имя перехватчика меняется?
один из таких файлов (sp??.sys), видимо, я обнаружил под именем sptd.sys и добавил к карантину. Может кто-нибудь сказать, что это за "драйвер"?

Функция NtCreateKey (29) перехвачена (8056E7A9->F75A10E0), перехватчик spmm.sys
Функция NtEnumerateKey (47) перехвачена (8056EEB0->F75BECA2), перехватчик spmm.sys
Функция NtEnumerateValueKey (49) перехвачена (8057FB78->F75BF030), перехватчик spmm.sys
Функция NtOpenKey (77) перехвачена (80567CFB->F75A10C0), перехватчик spmm.sys
Функция NtQueryKey (A0) перехвачена (8056EBB9->F75BF108), перехватчик spmm.sys
Функция NtQueryValueKey (B1) перехвачена (8056B103->F75BEF88), перехватчик spmm.sys
Функция NtSetValueKey (F7) перехвачена (80573C8D->F75BF19A), перехватчик spmm.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867861F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867861F8 -> перехватчик не определен

Спасибо!
27.10.2008, 17:27
Гриша

Это драйвера и перехваты эмулятора дисков...
28.10.2008, 13:26
gk17

спасибо!

Большое спасибо за помощь!
sptd для эмуляции, оказывается, совсем и не нужен, если пользоваться например ultraiso вместо алкоголя120.
Проблемы при копировании файлов установки SP3 исчезли, хотя поставить его так и не удалось (синий экран при загрузке - BAD_POOL_CALLED). При переустановке с обновлением - тоже самое.
Команда sfc по прежнему не работает.
Но, вероятно, это уже не к вам. Хотя если кто-то знает, где искать ответ, пожалуйста, сообщите (gerkin<at>mail<dot>ru). Спасибо!