Printable View
[QUOTE='Kalashnikov;509389']atapi.sys заменил из чистого дистрибутива[/QUOTE]И в нем по-прежнему зараза
Попробуйте запустить утилиту ([url]http://www.secureblog.info/articles/597.html[/url]) со следующими ключами: "TDSSKiller.exe -l C:\log.txt -v -o C:\dump.dmp"
Созданные файлы log.txt и dump.dmp приложите к посту.
Сделано.
Сделано. Файл с расширением dmp не прикрепляется запаковал его в zip. atapi.sy_ брал с диска SP3 а не с зараженного компьютера.
У Вас сложный случай, требующий проверки нескольких моментов. Поэтому вооружитесь терпением и выполните следующие действия. Делать по пунктам. В самом начале - отключить интернет и все антивирусы/файерволы, и не включать, пока это не будет разрешено!
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('%WinDir%\*.tmp', 'Возможно Kates');
QuarantineFile('c:\windows\System32\DRIVERS\ATAPI.SYS', 'Возможно TDL3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
2. Скачайте [URL="http://www.esagelab.com/files/bootkit_remover.rar"]вот эту утилиту[/URL]. Распакуйте её в отдельную папку. Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).
[CODE]start /wait remover.exe dump \\.\PhysicalDrive0 mbr.bin
remover.exe fix \\.\PhysicalDrive0[/CODE]
Запустите cleanup.bat. Запускать с правами администратора.
По окончании в папке появится файл mbr.bin. Скопируйте его в папку AVZ/Quarantine. Перезагрузите систему.
3. Скачайте [URL="http://www.secureblog.info/files/TDSSKiller.rar"]вот эту утилиту[/URL] и распакуйте в отдельную папку. Сохраните текст ниже как start.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: start.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).
[CODE]
start /wait TDSSKiller.exe -o C:\dump.dmp
TDSSKiller.exe -l C:\log.txt -v[/CODE]
Запустите start.bat. Запускать с правами администратора.
Перезагрузите систему.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
- Подключите ПК к интернету/локальной сети
- Заархивируйте папку AVZ/Quarantine в zip-архив с паролем 'infected' (без кавычек) и пришлите по красной ссылке вверху темы "Прислать карантин".
- Прикрепите файлы C:\dump.dmp и C:\log.txt к новому сообщению в этой ветке.
Все пункты выполнил. После выполнения 2 пункта и перезагрузки система обнаружила новое устройство. Не успел посмотреть что же это было. Файлы созданный TDSKiller упакованы в архив без пароля.
Файлы созданные bootkit_remover упакованы в архив Quarantine с паролем infected
[color=red]По красной ссылке пришлите![/color]
Хорошо, а где карантин самого AVZ? Пришлите его согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
Тысячу извинений. Отправил по ссылке красной 2 архива. virus с паролем virus и Quarantine с infected
После беседы с "подрастающим поколением" складывается мнение что этот вирус связан с сайтом одноклассники. Пришло письмо что есть сообщение, зашли на сайт но новое сообщение не открывалось, а по краю окна моргала надпись ****** сообщение. Что то такое.
Спасибо. Подождём ответ аналитиков.
Спасибо за терпение и участие в проблеме. Будем ждать.:)
Дополнительно. Впервые за все время лечения сейчас Оутпост поймал таких зверей
Имя: BZub
Тип: Trojan
Описание:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.
Ключи реестра:
HKEY_LOCAL_MACHINE\software\Microsoft\windows\currentversion\Control Panel\load
и
Имя: BiFrost
Тип: Backdoor
Описание:
Gives someone else access to your computer by bypassing the normal authentication procedures.
Ключи реестра:
HKEY_USERS\S-1-5-21-484763869-1606980848-839522115-1003\software\Wget
Вы вначале логи AVPTool приводили. А вообще сканирование с помощью [U]свежей[/U] AVPTool выполняли?
Да сканировал. Сегодня проверил снова, остался старый карантин и новый звереныш.
обнаружено: троянская программа Trojan-PSW.Win32.Kates.t Файл: C:\Qoobox\Quarantine\C\WINDOWS\xbshebo.old.vir
и
обнаружено: троянская программа Trojan-PSW.Win32.Kates.t Файл: C:\System Volume Information\_restore{AB6DC5CD-F8C7-46B0-9AB4-807E9D469D95}\RP1\A0000044.OLD
Это не новый зверёныш, это - копия в точках восстановления. Нестрашно, раз Вы отключили восстановление системы.
AVZ по-прежнему не запускается? Если нет, попробуйте [URL="http://gjf.hotbox.ru/monk.pif"]полиморфный AVZ[/URL] md5: 2091925798b7909e010e3f7e328c5f0d
AVZ запускается нормально, причем не переименнованный. GMER не запускается. Вчера после выполнения всего указанного в сообщении 24 он не запускался но выходили что не открывается какой то файл, то сегодня как и прежде начинает работать и затем вываливается в ошибку.
Делайте полный комплект логов AVZ по правилам.
Выполнил. Что заметил. Отключал через AVZ автозапуск со всех носителей. При нынешней проверке снова показывает что автозапуск разрешен.
Давайте вот как попробуем.
1. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE] O2 - BHO: Pick-a-Proxy Toolbar - {A6790AA5-1213-4567-A46D-0FDAC4EA90EB} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]procedure ScanKates(Name: String);
var Str: String;
Info: String;
begin
if RegKeyParamExists('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name)
then
begin
Str:= RegKeyStrParamRead('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32', Name);
Info:= 'Найден параметр ' + Name + ', связанный с ' + Str;
AddToLog(Info);
if Pos(' ', Str)<>0 then Str:= Copy(Str, 1, Pos(' ', Str)-1);
QuarantineFile(Str,'Kates');
DeleteFile(Str);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name);
end;
end;
procedure KillKates;
var i: integer;
begin
ScanKates('aux');
for i := 0 to 99 do ScanKates('aux'+IntToStr(i));
ScanKates('midi');
for i := 0 to 99 do ScanKates('midi'+IntToStr(i));
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
KillKates;
StopService('RegMonitorEx');
StopService('mnmdd2k');
QuarantineFile('C:\WINDOWS\System32\Drivers\mondrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mnmdd2k.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mnmdd2k.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mondrv.sys');
SaveLog(GetAVZDirectory+''kates.log');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('RegMonitorEx');
BC_DeleteSvc('mnmdd2k');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится. Сразу, не давая системе загрузится самой, используйте LiveCD. Его можно скачать тут: [URL="ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso"]LiveCD от DrWeb[/URL] или [URL="http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso"]Rescue Disc от Kaspersky Lab[/URL]. Рекомендуется сделать это и записать LiveCD заранее на заведомо незаражённой машине.
3. После загрузки с LiveCD скопируйте куда-нибудь следующие файлы с заражённой системы:
[CODE] C:\WINDOWS\system32\DRIVERS\parport.sys
C:\WINDOWS\system32\drivers\ATAPI.SYS[/CODE]
После этого перезапишите эти файлы незаражёнными версиями с LiveCD.
4. Загрузите систему как обычно. Повторите логи. Попробуйте сделать лог Gmer.
5. Пришлите карантин и скопированные файлы согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
6. Прикрепите новые логи, а также файл kates.log из папки AVZ к новому сообщению в этой ветке.
Все выполнено.
Карантин отправил.
GMER не работает.
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\p7q6xivg.exe','');
DeleteFile('C:\p7q6xivg.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог ComboFix
Комбо Фикс полностью не прошел, хотя как сказать :) Сперва выпала ошибка при исполнении PEV.cfxxe. Затем я успел заметить что утилита удалила файл начинающийся на р, затем перезагрузка и синий экран. Ошибка 0х0000007B (0xF78A2524... Сравнил drivers с незараженным компьютером, добавил pciide.sys и удалил pfc.sys pccsmcfd.sys :) Это я наверно виртуальный привод прихлопнул :)
Все загрузилось и заработал GMER. так что выкладываю логи AVZ до последнего "лечения" а GMER после. ComboFix повторить?
Карантин выслал.
Лог КомбоФикс