SpiderGuard не активен

Printable View

06.09.2009, 11:19
beyored

Вложений: 3

SpiderGuard не активен

При запуске Mozilla Firefox появилось сообщение об ошибке "точка входа в процедуру _wstat64 не найдена в библиотеке Msvcrt.dll". Все ярлыки на рабочем столе стали одинаковыми, как стандартный ярлык exe-файла. После перезагрузки Windows ярлыки и Firefox работали нормально, как обычно, а SpiderGuard от DrWeb не загрузился автоматически. При попытке загрузить вручную появляется сообщение об ошибке "Операция успешно завершена" (0). Что-то похожее описано [URL="http://new-forum.drweb.com/mod/forum/thread/?id=154784&fid=2"]здесь[/URL]. Проверил сканером с обновленными базами, был найден Trojan.Starter.1069, удалил. Это не помогло, SpiderGuard по-прежнему не загружается автоматически. CureIt в безопасном режиме ничего не нашел.
06.09.2009, 11:30
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\WINDOWS\Temp\winNOFZCyliz5mmRR.exe','');
QuarantineFile('C:\WINDOWS\system32\hkSvcSetup.cpl','');
QuarantineFile('C:\WINDOWS\system32\vmhelper.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\MTictwl.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\usujstnt.sys','');
DeleteService('usujstnt');
QuarantineFile('C:\WINDOWS\system32\drivers\rotscxxillxept.sys','');
QuarantineFile('C:\WINDOWS\system32\RGWIE.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\rotscxxillxept.sys');
DeleteFile('C:\WINDOWS\system32\drivers\usujstnt.sys');
DeleteFile('C:\WINDOWS\Temp\winNOFZCyliz5mmRR.exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('usujstnt');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Сделайте лог гмера по правилам [url]http://virusinfo.info/showthread.php?t=40118[/url]

Обновите базы AVZ и сделайте новые логи.
06.09.2009, 16:41
beyored

Вложений: 4

Большое спасибо, SpiderGuard загрузился автоматически. Гмер обнаружил активность руткита. Автоматически обновить AVZ не получилось, выдает сообщение об ошибке "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http:/avz.vifusinfo.info/avz_up/[21, 00002EFD]" или "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http:/z-oleg.com/secur/avz_up/[21, 00002EFD]". Скачал вручную базы с официального сайта и повторил логи.
06.09.2009, 16:47
Белый Сокол

Сохраните текст ниже как [B]cleanup.bat [/B]в ту же папку, где находится enlfuyxt.exe (gmer)
[CODE]enlfuyxt.exe -del service rotscxtoqbiqxh
enlfuyxt.exe -del file "c:\windows\system32\drivers\rotscxxillxept.sys"
enlfuyxt.exe -del file "rotscxwsp.dll"
enlfuyxt.exe -del file "c:\windows\system32\rotscxtsvkiphx.dll"
enlfuyxt.exe -del file "c:\windows\system32\rotscxrbqjatte.dat"
enlfuyxt.exe -del file "c:\windows\system32\rotscxvgxuiycd.dll"
enlfuyxt.exe -del file "c:\windows\system32\rotscxspntiqpx.dat"
enlfuyxt.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxtoqbiqxh"
enlfuyxt.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxtoqbiqxh"
enlfuyxt.exe -reboot[/CODE]И запустите cleanup.bat. Компьютер перезагрузится.

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
DeleteFile('RGWIE.dll');
BC_ImportDeletedList;
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Повторите логи AVZ + гмер.
06.09.2009, 20:44
beyored

Вложений: 3

Выполнил cleanup.bat и скрипт. Gmer во время проверки остановил выполнение, перестали работать клавиатура и мышь( не горели индикаторы чувствительности, не двигался курсор ). После перезагрузки Windows заново обнаружила IDE-контроллер, клавиатура и мышь заработали нормально. Повторно запустил Gmer, в этот раз без ошибок и ничего обнаружено не было. Повторил логи. Не знаю, важно это или нет, но Диспетчер процессов ( Ctrl+Alt+Del ) показывает только вкладку с пользователями, другие просто не отображаются. SpiderGuard работает нормально.
07.09.2009, 22:15
beyored

Вложений: 3

Наверно, проблема устранена, SpiderGuard загружается и работает нормально. Я на всякий случай повторил логи, если в них нет ничего подозрительного, то наверно это все. Большое спасибо за помощь.
07.09.2009, 22:28
thyrex

В логах ничего плохого не увидел

Выполнить скрипт
[code] begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1.3 или удалите старый
08.09.2009, 22:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\rotscxxillxept.sys - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: BackDoor.Tdss.486, AVAST4: Win32:Alureon-CX [Rtk] )[*] c:\windows\system32\~.exe - [B]Trojan-Dropper.Win32.Hexzone.eg[/B] ( DrWEB: Trojan.MulDrop.34332, BitDefender: Trojan.Generic.1764680, NOD32: Win32/Hexzone.AC trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\temp\winnofzcyliz5mmrr.exe - [B]Trojan-Dropper.Win32.Hexzone.eg[/B] ( DrWEB: Trojan.MulDrop.34332, BitDefender: Trojan.Generic.1764680, NOD32: Win32/Hexzone.AC trojan, AVAST4: Win32:Trojan-gen {Other} )[/LIST][/LIST]