Собственно после установки дров при загрузки появляется табличка нельзя открыть файл 57.tmp . Nod32 начал ругатся и удалил файл теперь он показывает не удается найти этот файл.
Printable View
Собственно после установки дров при загрузки появляется табличка нельзя открыть файл 57.tmp . Nod32 начал ругатся и удалил файл теперь он показывает не удается найти этот файл.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\winIogon.exe','');
QuarantineFile('C:\WINDOWS\System32\auahw.exe','');
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится. Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\57.tmp
[/code]
Файлы карантина AVZ пришлите согласно приложению 3 правил.
скрипт выполнил пишит, что ошибка и ничего в карантине не сохраняет
Попробуем такой скрипт:
[code]
begin
BC_QrFile('C:\WINDOWS\System32\winIogon.exe');
BC_QrFile('C:\WINDOWS\System32\auahw.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log') ;
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки прикрепите к теме файл boot_clr.log из папки с AVZ.
Если в карантине что-то будет, пришлите согласно приложению 3 правил.
вот
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis
[CODE]O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\auahw.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Protocol Deployment Manager] C:\WINDOWS\system32\57.tmp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\57.tmp (file missing)
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] ещё один скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\57.tmp','');
QuarantineFile('C:\WINDOWS\System32\winIogon.exe','');
QuarantineFile('C:\WINDOWS\System32\auahw.exe','');
RebootWindows(true);
end.[/CODE]
После ещё одной перезагрузки все, что попадет в карантин пришлите по правилам раздела.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\auahw.exe');
DeleteFile('C:\WINDOWS\System32\winIogon.exe');
DeleteFile('C:\WINDOWS\system32\57.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\57.tmp
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\57.tmp (file missing)
[/code]
Еще раз перезагрузитесь и сделайте новые логи п.10 и 12 правил.
логи
жалуется на файл C:\WINDOWS\system32\Drivers\sptd.sys
В карантин что-нибудь попало? Чьи скрипты выполняли?
Следов зверя больше не видно.
Вот это сами в хосты прописывали?
[CODE]O1 - Hosts: 87.242.89.182 nprotect.lineage2.com
O1 - Hosts: 87.242.89.182 update.nprotect.com
O1 - Hosts: 87.242.89.182 update.nprotect.net
O1 - Hosts: 87.242.89.181 l2authd.lineage2.com
O1 - Hosts: 87.242.89.181 l2testauthd.lineage2.com[/CODE]
Если нет, и имена серверов ни о чем не говорят, то пофиксить.
А что говорит про sptd?
Да, вот еще косячок остался: в реестре параметр
[B]HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load [/B]со значением [B]C:\WINDOWS\system32\57.tmp[/B].
Хайджек его не видит, надо бы удалить в Regedit, сможете?
[quote=MaXim;100299]В карантин что-нибудь попало? Чьи скрипты выполняли?[/quote]
В карантине файлов нет, скрипты выполнил и те и другие.
[quote=Bratez;100301]Следов зверя больше не видно.
Вот это сами в хосты прописывали?
[code]O1 - Hosts: 87.242.89.182 nprotect.lineage2.com
O1 - Hosts: 87.242.89.182 update.nprotect.com
O1 - Hosts: 87.242.89.182 update.nprotect.net
O1 - Hosts: 87.242.89.181 l2authd.lineage2.com
O1 - Hosts: 87.242.89.181 l2testauthd.lineage2.com[/code]
Если нет, и имена серверов ни о чем не говорят, то пофиксить.
А что говорит про sptd?[/quote]
2 последние я прописывал, 3 первые я на всякий случай удалили
Вот логи из AVZ
[code]Функция NtCreateKey (29) перехвачена (80618E8A->F73820B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (806196CA->F7387A92), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80619934->F7387E20), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (8061A220->F7382090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8061A544->F7387EF8), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (80616F44->F7387D78), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (8061754A->F7387F8A), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован[/code]
Вот еще подозрение
[code]C:\Documents and Settings\Валерий\Local Settings\Temporary Internet Files\Content.IE5\AZE2TKJV\ZFBCLEAN[1].ZIP Invalid file - not a PKZip file
C:\Documents and Settings\Валерий\Local Settings\Temporary Internet Files\Content.IE5\VTR8T5O4\ZFDCLEAN[1].ZIP Invalid file - not a PKZip file[/code]
ключ из реестра удалил
Насчет sptd.sys - все ОК, это легитимный драйвер, просто антируткит отключает его перехваты. Второе подозрение тоже безосновательно.
[QUOTE]ключ из реестра удалил[/QUOTE]
Теперь у Вас все чисто! :)
[quote=Bratez;100311]Насчет sptd.sys - все ОК, это легитимный драйвер, просто антируткит отключает его перехваты. Второе подозрение тоже безосновательно.
Теперь у Вас все чисто! :)[/quote]
ну не знаю вот что пишет nod :
Файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ZTT0O28H\ve0wh[1].jpg инфицирован модифицированный Win32/TrojanProxy.Ranky троян
Очистите кэш IE
Имелось ввиду "чисто в системе", а что там вообще на дисках - отсюда ж не видно :). В данном случае можно просто почистить временные файлы IE (в "Свойствах оборзевателя"). Ну и конечно просканировать весь комп антивирусом со свежими базами, это кстати в правилах написано в п.1.
Спасибо всем за помощь)
Вы можете нас отблагодарить [URL="http://www.virusinfo.info/showthread.php?t=3519"]так[/URL] Мы будем Вам очень благодарны!