Множественные проблемы!

Printable View

13.04.2009, 19:04
zhefran

Множественные проблемы!

ОС Windows 2000 SP4.
1. Проверил Cureit-ом нашло более 100 вирусов;
2. При загрузке выскакивает ошибка експлорера - память не может быть прочитана. Приходиться запускать с диспетчера задач;
3. Не открывается установка и удаление программ (работает только в безопасном режиме);
4. При завершении роботы выдает ошибку закрытия mshta.exe и sample.exe

Вроде все, хотя могу ошибаться.

Логи:
13.04.2009, 19:36
PavelA

Профиксить:
[CODE]F2 - REG:system.ini: Shell=Explorer.exe svcroot.exe[/CODE]
Выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\svcroot.exe','');
DeleteFile('C:\WINNT\system32\svcroot.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CoDE]

Сделать новые логи
Загрузить карантин через красную ссылку.
После лечения сменить пароли, у Вас был Пинч.
14.04.2009, 11:47
zhefran

Проблема с Sample осталась!
Новые логи:
14.04.2009, 11:51
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\Temp\kav1.tmp','');
DeleteFile('C:\WINNT\Temp\kav1.tmp');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
14.04.2009, 11:53
PavelA

Trojan.Suicide.11 - вот такое по Др.Вебу попало в карантин.
14.04.2009, 13:02
zhefran

Систему чистил CCleaner-ом.
[B]
Добавил карантин по правилам![/B]
Еще логи:
14.04.2009, 13:12
Rene-gad

Ничего подозрительного. Жалобы есть?
14.04.2009, 13:19
zhefran

Все тот же Sample + слетели дрова на что-то. Еще при загрузке появляется окно с квадратиками вместо названия и двумя вертикальными черточками в тексте. доступны кнопка ОК и закрыть
14.04.2009, 13:22
Rene-gad

Выполните проверку AVPTool (ссылка в моей подписи) в безопасном режиме.
[URL="http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button"]Malwarebytes Antimalware[/URL] - скачайте, обновите базы и сделайте лог.
14.04.2009, 18:48
zhefran

Проблема с окном при загрузке исчезла!:) - [B]рано радовался![/B]
[B]Добавлено:[/B]
Не дало поставить AVPTool. Подумал, что через Касперского 4.5. Снес Ушел на перезагрузку - БСОД.
В безопасном грузиться!

с0000263 \SysremRoot\system32\drivers\99845514.sys ... не понятно что ... RtlDeleteElementGenericTableAvi ... не понятно что ... ntoskrnl.exe ?????????

[size="1"][color="#666686"][B][I]Добавлено через 1 час 1 минуту[/I][/B][/color][/size]

Почитал на [url]http://virusinfo.info/showthread.php?t=32556[/url]. Удалю AVP

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

Загрузился в нормальном режиме! Проблемы описанные выше продолжаются. Сейчас попробую найти дрова, а потом запущу MBAM.

[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]

MBAM подвисает!

[size="1"][color="#666686"][B][I]Добавлено через 1 час 8 минут[/I][/B][/color][/size]

Удалил Proset - проблемма с Sample исчезла.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 2 минуты[/I][/B][/color][/size]

Осталась проблема с окном при загрузке!
14.04.2009, 19:03
Rene-gad

[QUOTE=zhefran;387264]
Осталась проблема с окном при загрузке![/QUOTE]Может Вам еще что-нибудь не обязательно необходимое удалить надо?
1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему и проверить, будет ли появляться окно..
14.04.2009, 19:35
zhefran

Если я не ошибаюсь, то в Windows 2000 не работает msconfig!

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

Запустился MBAM, пока не виснет! Проверяю!

Лог MBAM

Жду совета: удалять или нет?

Проблемы решены! Всем спасибо!
15.04.2009, 15:40
PavelA

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\utm3mtq3 (Rootkit.Bagle) -> No action taken. - драйвер AVZ страшным Баглом посчитала.

[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]

C:\WINNT\system32\wpv111232883867.cpx (Trojan.Agent) -> No action taken. - А вот этого мы не увидели. :( Странно.
16.04.2009, 15:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\winnt\system32\svcroot.exe - [B]Trojan.Win32.Agent.cbhl[/B] ( DrWEB: Trojan.Suicide.11 )[/LIST][/LIST]