Printable View
Собственно, заболел комп, куча троянов, AVZ убил почти все, но вот несколько остались и никак удаляться не хотят, стало быть хэлп, логи сканов прилагаются...
P.S. Попытка выполнить стандартный скрипт лечения/карантина вызвала перезагрузку компа, его выполнить удалось только в сейф-моде...
После его сбор информации и скрипт хайджека были выполнены в обычном режиме.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Uaa12', 'Start');
RebootWindows(true);
end.[/code]
После перезагрузки поищите вручную файл Uaa12.sys и пришлите его по правилам.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
Ну вот, навстречу работали. Я свой скрипт удалил, и Павел тоже ;)
Тогда возвращаю свой:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\adtool.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\SysCVMS.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\mstscex.dll','');
QuarantineFile('C:\WINDOWS\system32\y1.dll','');
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\vedxga5me3.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Baqn60.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Allu74.sys');
BC_ImportALL;
BC_QrSvc('ICF');
BC_QrSvc('LicCtrlService');
BC_DeleteSvc('ICF');
BC_DeleteSvc('LicCtrlService');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки - карантин пришлите по правилам.
Файл Uaa12.sys вручную и через поиск не находится...
Выполнение скрипта сходу вызвало перезагрузку Виндовс, сейчас попытаюсь выполнить его же в сейф-моде...
Вручную - имеется ввиду в AVZ: Сервис - Поиск файлов на диске.
выслал
1. Скачайте программу [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockxpFix[/URL].
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mstscex.dll');
DeleteFile('\SystemRoot\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DelSPIByFileName('y1.dll',true);
BC_DeleteFile('C:\WINDOWS\system32\y1.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3. Если нарушится связь с локалкой и/или интернетом, запишите настройки сетевых подключений и используйте скачанную программу, потом при необходимости введите настройки заново.
4. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O2 - BHO: HtmlView Helper - {E496675D-472B-4A82-A4F7-2EBBE5DA6754} - C:\WINDOWS\system32\adtool.dll (file missing)
[/code]
5. Winlogon.exe у вас патченный, надо восстанавливать из дистрибутива. Вариант - попробовать вылечить антивирусом Касперского.
6. Сделайте новые логи.
а как правильно восстановить винлогон с дистрибутива?
1. Загрузить консоль восстановления.
2. Я обычно выполняю последовательность команд:
[quote]
C:\Windows> [B]cd system32[/B]
C:\Windows\system32> [B]del winlogon.exe[/B]
C:\Windows\system32> [B]D:[/B]
D:\> [B]cd i386 [/B] [I](или путь к папке i386, если он более длинный)[/I]
D:\i386> [B]copy winlogon.ex_ C:[/B]
D:\i386> [B]C:[/B]
C:\Windows\system32> [B]expand winlogon.ex_ winlogon.exe[/B]
C:\Windows\system32> [B]exit[/B]
[/quote]
D соответствует букве CD дисковода.
По идее можно было короче - перейти в i386 и сделать expand в папку назначения C:\Windows\system32, но на практике почему-то не срабатывало, а так 100% надежно.
все сделал, как надо до того этапа, когда надо было выполнить команду ехраnd , при попытке выполнение пишет - не удается распаковать файл
Оригинал удалился?
Файл точно скопировался куда надо?
На С: перейти не забыли?
После копирования, стоя в папке C:\windows\system32 выдайте
[B]dir winlogon.*[/B]
должен показать winlogon.ex_
я все сделал, как было написано, и даже дистрибутив менял, та же фигня, не удается распаковать и все тут, в итоге тупо rename сделал winlogon.ex_ на winlogon.exе
вроде загрузилась машина, логи прикреплю уже завтра, рабдень закончен )
[QUOTE]rename сделал winlogon.ex_ на winlogon.exе
вроде загрузилась машина,[/QUOTE]
Забавно, в упакованном виде все равно работает! ;)
Ну что ж, не мытьем, так катаньем...
Ждем логов, интересно жив ли еще Uaa12.
Итак, выкладываю логи...
Как и в начале темы, при попытки выполнить стандартный скрипт лечения машина перегружается (как раз проходит красные строки о Uaa112, пишет, что функция восстановлена по моему, и тут же перегружается), пришлось первый лог получать в сейф моде...
Зато исчезли сообщения постоянные о трех вирусах, которые никак не удавалось излечить...
Вообщем...
Все звери на старых местах в логе AVZ.
Выполнить скрипт в Safe Mode:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mstscex.dll');
DeleteFile('\SystemRoot\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DelSPIByFileName('y1.dll',true);
BC_DeleteFile('C:\WINDOWS\system32\y1.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
AutoFixSPI;
RebootWindows(true);
end.[/CODE]
Если скрипт пройдет, то после сделать новые логи.
такой же скрипт мне братец советовал выполнить, и выполнял уже, правда не в сейв-моде )
Наверное, поэтому все живы и остались. Хотя можно провериться след. образом:
Поискать в AVZ y1.dll и прочих из этого скрипта. Если не найдутся, то это только следы в реестре, но мне кажется, что они все-таки живы.
Видимо, скрипт не сработал по той же причине, что и лог лечения/карантина. Сейчас напишу по-другому...
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
1. Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('protect');
BC_DeleteFile('C:\WINDOWS\system32\mstscex.dll');
BC_DeleteFile('C:\WINDOWS\system32\y1.dll');
BC_DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки есть вероятность, что система сильно затупит при запуске, ничего страшного, просто подождите минут 5.
2. Запустите программу WinSockxpFix и нажмите кнопочку [B]Fix[/B].
После того, как она отработает, перезагрузитесь.
3. Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [SysCVMS.exe] C:\WINDOWS\system32\SysCVMS.exe
[/code]
4. Попробуйте выполнить маленький скрипт из сообщения #2 и поискать этот Uaa12.sys.
5. Сделайте [URL="http://virusinfo.info/showthread.php?t=10387"]такой лог[/URL].
Значит всё сделал, как было написано, итоги таковы:
1. Uaa112.sys таки появился, и я его затащил в карантин, который заархивировал и пересылаю вам.
2. Лог который требовалось сделал и его прикрепляю
Ну и еще при стандартной проверке авз наконец-то исчезли те, строки красные про "тра-та-та машинный код джамп уаа" и т.п.
Присланный файл детектируется Касперским как [B]Rootkit.Win32.Agent.ea[/B]
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
QuarantineFile('c:\windows\system32\msvc32.dll','');
DeleteFile('c:\windows\system32\msvc32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\Uaa12.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам (думаю, последний).
выслал )