Printable View
В общем, все те же яiца, только в профиль...
В нормальном ражиме - AVZ и вся система отправляется в аут при проверке kernel mode выполнения скрипта "лечения/карантина". В защищенном режиме - детектит все тот же зараженный ksys.sys в папке system32, а в конце при выполнении проверки системы (кажется пункт 7 скрипта) также сваливается в аут. Лог syscure не записывается. В общем полный беспредел.
2 RiC
Лог Rootkit Unhooker (если это он) под скрепкой
1. Cкачайте [URL="http://swandog46.geekstogo.com/avenger.zip"]The Avenger[/URL]
2. Распакуйте программу к примеру в каталог C:\Avn
3. Запустите Avenger.exe и выберите "Input script manually"
4. Нажмите на иконку с увеличительным стеклом.
5. Введите в открывшееся окно текст из рамки ниже, (для этого пометьте текст в рамке выберите "копировать" и "вставить" его в окно программы) -
[CODE]
Files to delete:
C:\WINDOWS\system32\ksys.sys
C:\WINDOWS\system32\drivers\runtime2.sys
C:\Program Files\Internet Explorer\IEXPLORE.EXE
[/CODE]
6. Нажмите на иконку со светофором.
7. Перезагрузитесь.
8. После перезагрузки в блокноте откроется файл с протоколом выполнения, сохраните его.
9. Добавьте сохраненный файл в следующее сообщение.
[B][COLOR="Red"]Эта процедура убьёт Internet Explorer, если у вас нет другого альтернативного браузера, перед выполнениям скачайте и установите например Opera или FireFox.[/COLOR][/B]
Так радикально? Если другого способа нет, то случайно не подскажете в личку, где качнуть Oper'у, чтобы free?
[url]http://www.opera.com/download/[/url]
Закачал. Займусь этим завтра.
Вопрос: скрипт в Авенгер выполнять при отключенном восстановлении системы?
Да, востановление системы не включать пока всё не почистим...
PS. Перед выполнением скрипта в The Avenger зделайте резервную копию файла [B]C:\Program Files\Internet Explorer\IEXPLORE.EXE[/B]
Спасибо! Завтра на свежую голову :) буду пробовать.
Если и это не спасет - качать КАВ 7.0 пробовать сначала его анти-руткитом грохнуть (вряд ли спасет) и затем уже его средствами создавать Rescue CD и грохать из "DOSa"
Странно, но скрипт в Авенгер IE не убил. Общаюсь с Вами через сей браузер. ksys.sys остается на своем месте. AVZ при сканировании kernel приводит к системной ошибке. В общем, опять все те же.
Попробую, конечно, Авенгер запустить еще раз...
Маленькая победа.
Сделал так. Установил и запустил в обычном режиме утилиту HaxFix. В ее логе тем не менее ничего подозрительного не оказалось. Затем запустил DrWeb - CureIT с заданием проверить директорию C:\Windiows\system32 было обнаружено 4 подозрительных файла. Среди них некто qhdik.exe pptp32.dll (оба BackDoor.Haxdoor.203, хотя мне казалось, что второй - библиотека от DSL модема), а также все те же ksys.sys и в папке c:\windows\system32\drivers ip6fw.sys (Rootkit.Win32.Agent.dp). Дал команду на их удаление.
Затем перегрузился в Safe mode, запустил последний из рекомендованных скрипт в Avenger.
Затем опять перегрузился в нормальный режим. И, О чудо!, в AVZ удалось выполнить требуемые скрипты без всякой ругани со стороны fastfat.sys.
Что интересно, что IE тем не менее открылся после всех манипуляций, правда не разрешает мне прикрепить логи. Сейчас попробую поставить Оперу и прикрепить логи посредством ее. Очевидно, для этого потребуется временно включить "восстановление системы", или не включать?
Поставил Оперу. Логи прилагаю (в том числе лог сканирования директории Windows). Drweb - CureIT при сканировании вирусов не находит пока что...
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('lhkmoopm.sys','');
QuarantineFile('C:\WINDOWS\System32\Launcher.exe','');
QuarantineFile('C:\WINDOWS\System32\launcher.dll','');
QuarantineFile('C:\WINDOWS\gtwatch.exe','');
QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\svchоst.exe');
BC_DeleteSvc('ip6fw');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
При выполнении скрипта комп завис перед перезагрузкой. Пришлось резетиться. Карантин выслал:
Файл сохранён как 070603_140703_virus_466292c79b998.zip
Размер файла 353775
MD5 e9430be9e2cabad6e6d574bb071ef8e6
В карантине ничего вредоносного.
Поищите вручную через AVZ файл [B]lhkmoopm.sys[/B], если найдется - пришлите (см. приложение 2 правил).
Сделайте новые логи - посмотрим на результаты удаления.
[B]lhkmoopm.sys[/B] не нашел
Логи прилагаю.
Смущает вот это в логе HJ:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.megafonnw.ru/site/rus[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 58.65.239.154 login.osmp.ru
O1 - Hosts: 58.65.239.154 greenmoneyhyip.com
O1 - Hosts: 58.65.239.154 [url]www.greenmoneyhyip.com[/url]
Последние два хоста я вообще не знаю, а софт у меня теперь Опера, а не IE
Хосты можно почистить в AVZ: Файл - Восстановление системы - п.13.
Строчки с кодом R0 можете пофиксить, хотя это ни на что не повлияет.
Карантин avenger'a удалите.
А так в логах чистота. Надеюсь, проблем больше нет?
Еще раз просканировал все AVZ
Из его замечаний пожалуй только одно вызывает у меня вопрос:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082680)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559680
KiST = 804E26A8 (284)
[COLOR="Red"]Функция NtConnectPort (1F) перехвачена (8058A800->8193F0A8), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован[/COLOR]
Проверено функций: 284, перехвачено: 1, восстановлено: 1
Является ли это признаком какой-либо еще не решенной проблемы?
[QUOTE]Является ли это признаком какой-либо еще не решенной проблемы?[/QUOTE]
Не думаю. Скорее всего, проделки дядюшки Нортона.
ВСЕМ ОТКЛИКНУВШИМСЯ ОГРОМНОЕ СПАСИБО ЗА ПОМОЩЬ В РЕШЕНИИ ПРОБЛЕМЫ!!! :*
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]