Поначалу не запускались AVZ и HJ. После запуска cureit удалилось несколько вирусов и BSOD. Послк перезагрузки стали запускаться avz и hj. AVZ я переименовал.
Printable View
Поначалу не запускались AVZ и HJ. После запуска cureit удалилось несколько вирусов и BSOD. Послк перезагрузки стали запускаться avz и hj. AVZ я переименовал.
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\erxtpq.exe','');
QuarantineFile('C:\WINDOWS\system32\61ce5e6d.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\jiahu.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\61ce5e6d.exe');
DeleteFile('C:\WINDOWS\system32\erxtpq.exe');
QuarantineFileF('%system32%', '*.exe', false,'', 0, 0, '28.07.2010', '28.08.2010');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
SetAVZPMStatus(true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите + в дополнение сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]
Карантин отправлен. При перезагрузке продолжает выскакивать сообщение об ошибке запуска sisdgi32. При запуске gmer выскакивает окно о возможной модификации системы, при начале сканирования BSOD.
Сделайте логи последней версией AVZ, + Сделайте лог [url=http://virusinfo.info/showthread.php?t=78057]Vba32 AntiRootkit[/url] в режиме ordinary.
Новые логи.
В AVZ выполните скрипт в [B]безопасном[/B] режиме загрузки операционной системы:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\jiahu.sys','');
BC_QrFile('C:\WINDOWS\system32\Drivers\jiahu.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\jiahu.sys');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
BC_ImportAll;
ExecuteSysClean;
AddToLog(inttostr(BC_ServiceKill('jiahu')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.
Карантин отправил. Теперь знаю что бывает, если вместо карантина попытаться отправить лог (по ошибке). Окно об ошибке выполнения sisgbi32 пропало. Но при попытке запустить gmer тоже самое. BSOD вылетает на jiahu.sys (если не ошибаюсь).
В AVZ - Сервис - Модули пространства ядра - кликните по файлу [B]jiahu.sys[/B] и нажмите кнопочку "Снять дамп текущего модуля". В результате образуется папка DMP в каталоге с avz, заархивируйте ее и пришлите на изучение.
В AVZ выполните скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\at7qoo74.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\atapi.sys');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Карантин отправил.
Запустите Vba32 AntiRootkit. Зайдите в секцию Tools - Kernel Modules - Найдите файл C:\WINDOWS\system32\Drivers\jiahu.sys, правая клавиша мыши - Wipe File. Перезагрузитесь, повторите лог AVZ virusinfo_syscure.zip
Лог.
Какой-то неубиваемый драйвер. Для чего он используется?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 59 минут[/I][/B][/color][/size]
Все же что с системой?
Упорный зловред. Попрошу вас о следующем. Загрузитесь с LiveCD, скопируйте файл C:\WINDOWS\system32\Drivers\jiahu.sys в какую нибудь папку и переименуйте его в virus.tmp. Исходный файл удалите. Загрузитесь в обычном режиме, заархивируйте данный файл в архив с паролем virus и пришлите по красной ссылке вверху темы. Повторите лог virusinfo_syscure.zip.
Карантин отправил.
[B]C:\WINDOWS\system32\Drivers\jiahu.sys[/B] - [B][COLOR="Red"]Rootkit.Win32.Agent.biiu (Trojan.Packed.20819)[/COLOR][/B]
Выполните скрипт в AVZ
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\jiahu.sys');
DeleteService('jiahu');
DeleteFile('jiahu.sys');
BC_DeleteSvc('jiahu');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
[/CODE]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
После перезагрузки снова повторите лог virusinfo_syscure.zip.
avz_log.txt до того как сделал обновления. Сейчас пишет что не обнаружено уязвимостей.
чисто
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sisgbi32.exe - [B]Trojan.Win32.VB.ajzr[/B] ( DrWEB: Trojan.Botnetlog.518, BitDefender: Trojan.Generic.4804659, AVAST4: Win32:Malware-gen )[*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Zapchast.caz[/B] ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )[*] \\virus.tmp - [B]Rootkit.Win32.Agent.biiu[/B] ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )[/LIST][/LIST]