Прошу помощи в лечении

Printable View

02.12.2010, 00:20
-Алексей-

Прошу помощи в лечении

Доброго времени суток!
Брат пожаловался на то, что компьютер не загружается. Зависает на черном экране, а при попытке выхода в безопасный режим выпадает синий экран. Решил для начала проверить состояние жесткого диска.
Запустил систему с LiveCD. Просканировал диски, проблем не выявил.
Перезапустил, удалось войти в безопасный режим.
Решил выполнить проверку на вирусы согласно правил. Для начала запустил HiJeckThis. Мне показалась подозрительной строка с Userinit. Запустил на проверку CureIt. Однако, во время работы экран погас и комп не реагировал. После перезагрузки стал разбираться с железом. Оказалось, что на видеокарте кулер не работает. Но решил провести лечение компьютера до конца. Поэтому прилагаю логи к своему сообщению и прошу помощи в лечении.
02.12.2010, 05:50
polword

- Скачайте "[B]OSAM[/B]" Online Solutions Autorun Manager [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]тут[/URL]. В меню драйверов правой кнопкой по [B]sdvstu[/B] и выберите "[B]Turn Run Off[/B]". Перезагрузку подтвердите.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\Drivers\sdvstu.sys','');
QuarantineFile('C:\WINDOWS\system32\syssec32.exe','');
QuarantineFile('C:\WINDOWS\system32\ouickl.exe','');
QuarantineFile('C:\WINDOWS\system32\f06dd448.exe','');
QuarantineFile('C:\WINDOWS\system32\ehbxqe.exe','');
QuarantineFile('C:\WINDOWS\system32\6360d008.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mvvpymqq.sys','');
DeleteService('mvvpymqq');
QuarantineFile('C:\WINDOWS\TEMP\5520afd5af7c','');
DeleteService('fa7b4d75c8ed702a');
DeleteService('eb743624380d1702');
DeleteService('dc585ed28a7f8dc8');
DeleteService('d04ee41c9c0a430c');
QuarantineFile('C:\WINDOWS\TEMP\5520da7556bc','');
QuarantineFile('C:\WINDOWS\TEMP\5520ae1c5384','');
DeleteService('cc8470ba0e4f9793');
DeleteService('b1b537ddc736943d');
DeleteService('ac8995da3ea337a3');
QuarantineFile('C:\WINDOWS\TEMP\556043d1a590','');
QuarantineFile('C:\WINDOWS\TEMP\56008eea7580','');
DeleteService('a9c85ab8d8f383ff');
DeleteService('a438b61362a4bf6e');
DeleteService('a3f509843c2891c6');
DeleteService('9264c55313bb6994');
QuarantineFile('C:\WINDOWS\TEMP\5520251ce134','');
QuarantineFile('C:\WINDOWS\TEMP\5520854d0338','');
QuarantineFile('C:\WINDOWS\TEMP\5600cd87ce70','');
QuarantineFile('C:\WINDOWS\TEMP\5560c2a960','');
QuarantineFile('C:\WINDOWS\TEMP\5520f5a28730','');
QuarantineFile('C:\WINDOWS\TEMP\5600153187c4','');
QuarantineFile('C:\WINDOWS\TEMP\5640a04295c','');
QuarantineFile('C:\WINDOWS\TEMP\5520e782cf3c','');
QuarantineFile('C:\WINDOWS\TEMP\56002f4fef04','');
QuarantineFile('C:\WINDOWS\TEMP\55203ac3d4b0','');
QuarantineFile('C:\WINDOWS\TEMP\552082bac88','');
DeleteService('7be4a28872a8019a');
DeleteService('766c5aff545e591f');
DeleteService('51075a852cb2435c');
DeleteService('46d9e1af036386f3');
DeleteService('444cf24ff15b4dfe');
DeleteService('2aeae007bcc26b97');
DeleteService('22b5b87511914f23');
DeleteService('1eea3be5145c0a50');
DeleteService('1e95bedd4436c807');
DeleteService('0bd55cac7b49d130');
DeleteService('0ad22bb8aae42093');
DeleteService('06b37c5a27ac5891');
QuarantineFile('c:\program files\lovivkontakte\lovivkontakte.exe','');
DeleteFile('C:\WINDOWS\TEMP\552082bac88');
DeleteFile('C:\WINDOWS\TEMP\55203ac3d4b0');
DeleteFile('C:\WINDOWS\TEMP\56002f4fef04');
DeleteFile('C:\WINDOWS\TEMP\5520e782cf3c');
DeleteFile('C:\WINDOWS\TEMP\5640a04295c');
DeleteFile('C:\WINDOWS\TEMP\5600153187c4');
DeleteFile('C:\WINDOWS\TEMP\5520f5a28730');
DeleteFile('C:\WINDOWS\TEMP\560094b15f68');
DeleteFile('C:\WINDOWS\TEMP\5640d82bada4');
DeleteFile('C:\WINDOWS\TEMP\5560c2a960');
DeleteFile('C:\WINDOWS\TEMP\5600cd87ce70');
DeleteFile('C:\WINDOWS\TEMP\5520854d0338');
DeleteFile('C:\WINDOWS\TEMP\5520251ce134');
DeleteFile('C:\WINDOWS\TEMP\56008eea7580');
DeleteFile('C:\WINDOWS\TEMP\5640f1579a24');
DeleteFile('C:\WINDOWS\TEMP\5560c53d2930');
DeleteFile('C:\WINDOWS\TEMP\556043d1a590');
DeleteFile('C:\WINDOWS\TEMP\55206231ea68');
DeleteFile('C:\WINDOWS\TEMP\560048cac070');
DeleteFile('C:\WINDOWS\TEMP\5520ae1c5384');
DeleteFile('C:\WINDOWS\TEMP\5520da7556bc');
DeleteFile('C:\WINDOWS\TEMP\5520333130b0');
DeleteFile('C:\WINDOWS\TEMP\5520afd5af7c');
DeleteFile('C:\WINDOWS\system32\drivers\mvvpymqq.sys');
DeleteFile('C:\WINDOWS\system32\6360d008.exe');
DeleteFile('C:\WINDOWS\system32\ehbxqe.exe');
DeleteFile('C:\WINDOWS\system32\f06dd448.exe');
DeleteFile('C:\WINDOWS\system32\ouickl.exe');
DeleteFile('C:\WINDOWS\system32\syssec32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
DeleteFile('C:\WINDOWS\system32\Drivers\sdvstu.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
04.12.2010, 11:48
-Алексей-

Появилось время продолжить лечение ...

Файл сохранён как 101204_114422_quarantine_4cf9ff66126fe.zip
Размер файла 1407211
MD5 31a639787b64f2f38f91abd5721883c1

P.S. Как дела с логами?
04.12.2010, 20:07
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
05.12.2010, 21:37
-Алексей-

Проверка прошла успешно. Файл во вложении
05.12.2010, 21:51
thyrex

c:\windows\system32\drivers\kslaprj.sys запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
07.12.2010, 23:49
-Алексей-

Файл сохранён как 101207_234800_virus_4cfe9d80122e0.zip
Размер файла 260903
MD5 aa6eddb623f355df2cc150564ff68f24
16.12.2010, 00:16
-Алексей-

Извините, что нибудь еще необходимо сделать? Вроде видимых проблем не видно ...
16.12.2010, 03:26
Bratez

Файл в карантине чистый.
Если проблем нет, то больше ничего не нужно.
17.12.2010, 03:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]50[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\sdvstu.sys - [B]Rootkit.Win32.Bubnix.bba[/B] ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )[/LIST][/LIST]