логи приложил. Замечу, что перед выполнением стандартного скрипта №3 в AVZ не указывал все разделы винта; при его выполнении стал проверяться только раздел C:
логи приложил. Замечу, что перед выполнением стандартного скрипта №3 в AVZ не указывал все разделы винта; при его выполнении стал проверяться только раздел C:
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\shell64.dll','');
QuarantineFile('C:\WINDOWS\system32\3fb8a1.exe','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\csrss.exe','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('000005FE.sys');
DeleteFile('C:\Documents and Settings\Луппов Владимир\csrss.exe');
DeleteFile('C:\WINDOWS\system32\3fb8a1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
DeleteFile('C:\WINDOWS\system32\shell64.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{AEB6717E-7E19-11d0-97EE-00C04FD91972}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
карантин выслал. Запустил сбор лога avz_sysinfo.htm скриптом №3 лечения/карантина и сбора информации для разделов C: и D:.
При этом в автозагрузке msconfig я вернул запуск для какой-то игры от Nevosoft NevoDRM.exe.
приложил логи. Замечу, что сначала пересобрал логи AVZ, затем вспомнил, что активен SpyBot и деинсталировал его. Затем собрал остальные логи. (Игру от Nevosoft деинсталировал, но в автозагрузке ссылка на NeNevoDRM.exe осталась)
Программа C:\Program Files\IMMonitor\IMMonitor ICQ Spy Вам известна?
Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\drivers\str.sys','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\8981.exe','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7F.tmp','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM1F.tmp','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM871.tmp','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7B.tmp','');
QuarantineFile('C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM955.tmp','');
QuarantineFile('C:\WINDOWS\Temp\wpv841278400420.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv751278400097.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv791278399629.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv941278400263.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv621278400048.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv561278422643.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv471278400048.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv581277975557.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv321277975926.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv501277976249.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv611277975882.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv211277975441.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv581277975644.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv041277975692.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv001277975966.exe','');
QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
end. [/code]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amva (Spyware.OnlineGames) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv001277975966.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv041277975692.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv581277975644.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv211277975441.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv611277975882.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv501277976249.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv321277975926.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv581277975557.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv471278400048.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv561278422643.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv621278400048.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv941278400263.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv791278399629.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv751278400097.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv841278400420.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM955.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7B.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM871.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM1F.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\~TM7F.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Луппов Владимир\Local Settings\Temp\8981.exe (Trojan.Dropper) -> No action taken.
D:\distrib\avz4_1\avz4\Quarantine\2010-07-14\avz00001.dta (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.[/CODE]
Проверьте наличие файла C:\WINDOWS\system32\grpconv.exe
В случае отсутствия восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
Сделайте новый лог МВАМ
Я спросил хозяйку зараженного ноута, она не знает, откуда у нее на компе IMMonitor ICQ Spy. Тогда я деинсталировал эту программу.
На зараженном ноуте стоит XP Home sp2. Файл C:\WINDOWS\system32\grpconv.exe отсутствует. Дистрибутива XP Home у меня нет, и пока не знаю, где взять этот файл. Можно ли его подсунуть с дистрибутива XP Professional sp2 или не стоит?
[QUOTE='Константин Р.;672690']Можно ли его подсунуть с дистрибутива XP Professional sp2[/QUOTE]Попробуйте
Что с проблемой?
grpconv.exe взял из SP2, система после перезагрузки работает. Карантин и лог МБАМ выслал. Проблемы остаются такие: до входа в систему в окне приглашения на вход система часто намертво подвисает, не давая ввести имя и пароль. При следующей загрузке запускается проверка диска (он имеет систему Fat32) на ошибки. После исправления ошибок система снова может зависнуть.
Добавлено 20.07.2010: также увидел, что система может зависнуть и после ввода пароля, на этапе загрузки профиля.
попробовал удалить два файла через МБАМ (см. лог mbam-log-2010-07-20 (12-06-46).txt), но C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) так и не удаляется. Восстановление системы отключено.
Уважаемый thyrex, я был бы рад получить дальнейшие указания. Если неточно им следовал на предыд.шаге, то приношу извинения. Зависание при входе в систему - может ли оно иметь причину, не связанную с активным вирусом? Стоит ли искать в другом направлении?
Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
запустил ComboFix без консоли восстановления, она зависла при сканировании. Установил консоль от XP professional, несколько раз перезагрузил комп, чтобы правильно запустить ComboFix. На данный момент прошло 25 мин после начала сканирования. Оставлю до утра. Надеюсь, что она не зависла.
Combofiх зависает с открытым окном AutoScan, не могу собрать лог. Завершить его помогает только отключение питания. Что теперь?
Попробуйте сделать лог в безопасном режиме
В безопасном режиме ComboFix запустился, вывел сообщение об обнаружении активности руткита и попросил перезагрузки. После перезагрузкти вышли сообщения Completed Stage_1 и Completed Stage_2, затем всплыло окно: "PEV.cfxxe - Ошибка приложения. Исключение неизвестное программное исключение (0xc0000417) в приложении по адресу 0x00482899." Я нажал Ок для закрытия окна и работа продолжилась. После автомат. перезагрузки системы
при подготовке отчета всплыло окно ("Редактор реестра: Не удается экспортировать "C:\Qoobox\Quarantine\Registry_backups\AddRemove-FlatOut 2:Winter Pursuit_is1.reg.dat". Ошибка при открытии файла. Она м.б. связана с ошибкой на диске или сбоем системы). Закрыл окно нажатием "Ок". Вскоре появился лог. Сейчас система в безопасном режиме.
После загрузки в нормальном режиме выскакивает окно "Ошибка" (c:\windows\daemon.dll error!) Также первый раз мелькнуло окно какой-то презентации. Замечу, что стоит нод32 со старыми базами, но он неактивен.
Можно убрать из автозапуска NevoDRM (мешает сообщение об ошибке запуска "Не установлено ни одной игры")? Нужно ли советоваться по подобным
(кажется, очевидным) вопросам? Не знаю, как принято вести себя на этом форуме.
Перезагрузил ПК трижды, зависаний при входе пока не было. Жду вашего ответа.
c:\windows\system32\kernel32.dll проверьте на [url="http://www.virustotal.com/ru"]virustotal[/url]
Ссылку на результат проверки сообщите
Отключите в безопасном режиме через msconfig запуск Daemon Tools
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\4faa79a8.exe
c:\windows\system32\drivers\dyfpei.sys
c:\windows\system32\drivers\nuitge.sys
c:\docume~1\ЛУППОВ~1\LOCALS~1\Temp\nznzwvxspracw.sys
Driver::
ogveej
olipv
ajjfzjhi
Folder::
C:\FOUND.018
C:\FOUND.017
C:\FOUND.016
C:\FOUND.015
C:\FOUND.014
C:\FOUND.013
C:\FOUND.012
C:\FOUND.011
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NevoDRM"=-
FileLook::
DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
результат проверки здесь: [URL="https://www.virustotal.com/ru/analisis/7901b1e23d0d69f31fe905ae13eba883a2e847bd0ce0acab98b318be6eccf2da-1275458685"]https://www.virustotal.com/ru/analisis/7901b1e23d0d69f31fe905ae13eba883a2e847bd0ce0acab98b318be6eccf2da-1275458685[/URL]
Отключил Daemon Tools в безоп. режиме. В этом же режиме после перемещения CDScript.txt на пиктограмму запустился ComboFix, всплыло сообщение "CFScript Name Error. Where you trying to run CFScript? The name, CFScript appears to be incorrectly spelt. ". Нажал Ок и программа завершилась без вывода отчета.
На всякий случай, с вами я общаюсь с другого компьютера, а не с зараженного.
Увидел, что не тот файл переместил на пиктограмму. Сейчас исправлюсь.
Во время работы ComboFix вывел сообщение об обнаружении активности руткита и попросил перезагрузки. После перезагрузки (в обычном режиме) также всплыло окно: "PEV.cfxxe - Ошибка приложения. Исключение неизвестное программное исключение (0xc0000417) в приложении по адресу 0x00482899." Отчет программы приложил. Может, мне надо было только в безопасном режиме использовать программу, чтобы не возникала ошибка?
Плохого не видно в логе. Что с проблемой?