Файл подкачки

Printable View

04.05.2010, 00:38
Smbdy

Файл подкачки

При загрузке системы выдаёт ошибку, что файл подкачки слишком мал. Не удаётся зафиксировать его размер. AVZ находит эти процессы, но удалить их не получается.
Логи во вложении
04.05.2010, 02:17
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\Admin\uomfwv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1849188959-1045323217-642085124-1252\nissan.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\pard.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\tbknoywz.sys','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\tbknoywz.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');
DeleteFile('C:\Documents and Settings\Admin\Application Data\pard.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1849188959-1045323217-642085124-1252\nissan.exe');
DeleteFile('C:\Documents and Settings\Admin\uomfwv.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=77592[/url]).
Сделайте новые логи.
08.05.2010, 12:15
Smbdy

Нашёл способ повторно выложить логи:)
08.05.2010, 12:18
Smbdy

Карантин я отправил. Теперь при загрузке "зависает" на фразе "Приветствие". Нажал три волшебных кнопки - только тогда пустило в систему. Файл подкачки по прежнему остаеться мал, изменить его не удаёться. User.ini не удалился :-(
08.05.2010, 12:28
ARMA9000

Отключить восстановление системы, защитное ПО.
Профиксить:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\system volume information\whistler\svchost.exe');
QuarantineFile('C:\WINDOWS\system32\userini.bak','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','');
QuarantineFile('c:\system volume information\whistler\svchost.exe','');
DeleteFile('c:\system volume information\whistler\svchost.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\userini.bak');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить. Логи повторить. Какие проблемы наблюдаются?
20.05.2010, 11:12
Smbdy

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file) появляется снова.
Ситуация не поменялась.
Не могу понять, что лезет в файл подкачки.
Логи вложил. Сейчас карантин отправлю.
20.05.2010, 11:13
Smbdy

Ой, один лог забыл
20.05.2010, 11:15
Smbdy

Файл сохранён как 100520_111446_virus_4bf4e1661a153.zip
Размер файла 63222
MD5 3c9ea743b6a0349964a9aed13cf06d13
20.05.2010, 14:46
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\pard.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\pard.exe');
DeleteFile('C:\System Volume Information\Whistler\svchost.bak');
DeleteFile('C:\System Volume Information\Whistler\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
21.05.2010, 14:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\whistler\svchost.exe - [B]Trojan.Win32.Vilsel.adiz[/B] ( DrWEB: Win32.HLLC.Asdas.8, BitDefender: Trojan.Generic.3847133, AVAST4: Win32:Unruy-E [Trj] )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Email-Worm.Win32.Joleee.etq[/B] ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DF [Trj] )[*] c:\windows\system32\userini.bak - [B]Email-Worm.Win32.Joleee.etr[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DF [Trj] )[*] c:\windows\system32\userini.exe - [B]Email-Worm.Win32.Joleee.etr[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DF [Trj] )[/LIST][/LIST]