Printable View
При загрузке компьютера не запускается антивирус AVIRA,при запуске вручную зависает,не работает безопасный режим,CUREIT вылетает с ошибкой,HijackThis запускается с ошибкой,но работает,в Process Exploere Русиновича видно,что процесс SMSS.EXE постоянно запускает утилиту Ping.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\drivers\s7oefs_x.sys','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
TerminateProcessByName('c:\windows\system32\com\smss.exe');
QuarantineFile('c:\windows\system32\com\smss.exe','');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
DeleteFile('C:\WINDOWS\system32\com\SMSS.EXE');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18395[/url]
Повторите логи.
Все выполнил
Спасибо, буду ждать
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Спасибо, все выполнил, буду ждать
Так,что,никто не поможет?
В карантине dnsq.dll - [b]Trojan.Win32.Shutdowner.cv[/b], lsass.exe - [b]Virus.Win32.Xorer.dr[/b], smss.exe - [b]Virus.Win32.Xorer.cp[/b]. s7oefs_x.sys - чистый.
Я же просил новый комплект логов. Давайте новый комплек логов, посмотрим кто из врагов умер, а кто нет.
Логи сделать не получается,AVZ запускается и виснет при попытке снять лог,пропал так же доступ к диску D.
А в безопасном режиме то же не получается?
Безопасный режим пропал сразу,сейчас сканирую Касперским из под Bart PE,поражены все HTML-файлы,Virus.Win32.Xorer,могу попробовать сделать лог из-под него.
Нет лог Bart PE нам не нужен...закончите сканирование приготовте новый комплект логов
После двух прогонов Касперским и Cureit из-под Bart PE удалось запустить AVZ,логи прилагаю.В папке WINDOWS\sistem32\com остался файл smss.exe,AVIRA запустилась,но постоянная защита не работает,безопасный режим тоже.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\smss.exe','');
QuarantineFile('C:\NetApi000.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Готово
Файл сохранён как 080224_131259_virus_47c1c1bb69567.zip
Размер файла 28544
MD5 7d0ab3324d5cbdc62cbec233f13c12fd
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\NetApi000.sys');
BC_ImportDeletedList;
BC_DeleteSvc('NetApi000');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
smss.exe - похоже чистый ... подождем что скажет вирлаб ...
Скрипт выполнил,а что делать с WINDOWS\sistem32\com\smss.exe,его там помоему не должно быть?
C:\WINDOWS\system32\com\smss.exe - не должно быть ...( в логах его не видно -уже- удален)
C:\WINDOWS\system32 должен быть ... он и есть ... только дата создания подозрительная ...
C:\WINDOWS\system32\smss.exe-это товатищ от усердия при помощи AVZ его удалил,а потом копировали с другого компьютера,вот и дата другая.C:\WINDOWS\system32\com\smss.exe добавил в карантин,присылать надо?
Вы же его вроде вчера присылали?
Сделайте пока новые логи с п.10 Правил
У этого дата сегодняшняя и в C:\WINDOWS\system32\com\ кроме него больше ничего нет
в логах активного заражения нет ...
Ну тогда спасибо,у меня ещё две машины с теми-же симптомами,пойду открывать новую тему,smss.exe отправлю на вирустотал.И что означает "Таймаут завершения служб находится за пределами допустимых значений",запускаю "Мастер поиска и устранения проблемм",но при следующем сканировании надпись вновь выскакивает.
1 Таймаут завершения служб находится за пределами допустимых значений - это скорее следствие применеия твикеров ... Мастер поиска и устранения проблемм -если выбрыть эту проблему и нажать устранить - должен помочь ...
2 новый компьютер новая тема ...
Результаты с вирустотала
[code]Файл smss.zip получен 2008.02.24 21:48:45 (CET)
Текущий статус: закончено
Результат: 20/32 (62.5%)
Форматированные
Печать результатов Антивирус Версия Обновление Результат
AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.24 -
Authentium 4.93.8 2008.02.24 -
Avast 4.7.1098.0 2008.02.23 Win32:Xorer-I
AVG 7.5.0.516 2008.02.24 Generic9.ATQA
BitDefender 7.2 2008.02.24 Win32.Xorer.DU
CAT-QuickHeal 9.50 2008.02.22 Worm.Xorer.d
ClamAV 0.92.1 2008.02.24 W32.Xorer-2
DrWeb 4.44.0.09170 2008.02.24 Win32.HLLP.Rox
eSafe 7.0.15.0 2008.02.21 Virus.Win32.Xorer.dt
eTrust-Vet 31.3.5557 2008.02.23 Win32/Pagipef.M
Ewido 4.0 2008.02.24 -
FileAdvisor 1 2008.02.24 -
Fortinet 3.14.0.0 2008.02.24 W32/Xorer.DT!tr
F-Prot 4.4.2.54 2008.02.24 -
F-Secure 6.70.13260.0 2008.02.23 Virus.Win32.Xorer.dt
Ikarus T3.1.1.20 2008.02.24 Virus.Win32.Xorer.dt
Kaspersky 7.0.0.125 2008.02.24 Virus.Win32.Xorer.dt
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.24 Virus:Win32/Xorer.D
NOD32v2 2898 2008.02.23 Win32/Xorer.DR
Norman 5.80.02 2008.02.22 -
Panda 9.0.0.4 2008.02.24 W32/Xorer.K.worm
Prevx1 V2 2008.02.24 Generic9.ATQA
Rising 20.32.62.00 2008.02.24 Worm.Win32.DiskGen.cy
Sophos 4.26.0 2008.02.24 W32/Xorer-B
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.24 W32.Pagipef.I
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.24 -
Webwasher-Gateway 6.6.2 2008.02.24 Win32.NewMalware.KA!40960
Дополнительная информация
File size: 20817 bytes[/code]
так,что сидит,но неактивный почему то.И ещё такой вопрос у меня в папке C:\WINDOWS\system32\com\ кроме этого smss.exe ничего нет,это нормально?
выполните пункт 2 правил ....
Безопасный режим не работает,мелькают надписи:
"Press ESC to cansel loalding SPTD.sys"
"Press ESC to cansel loalding 0347bus.sys",
а потом прелогает загрузиться в обічном режиме,нажати ESC приводит к тем же результатам
[size="1"][color="#666686"][B][I]Добавлено через 1 час 20 минут[/I][/B][/color][/size]
Так с SPTD.sys и а347bus.sys разобрался это от от Alkohol 120 и Daemon драйвера были,теперь ничего нажать не предлагает,безопасный режим просто не грузится,smss удалил AVZ через отложенное удаление.Проверяю Cureit в обычном режиме.Не подскажете как вернуть безопасный режим?
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
Безопасный режим вернул при помощи скрипта 10 "Восстановлени системы"
[size="1"][color="#666686"][B][I]Добавлено через 1 час 34 минуты[/I][/B][/color][/size]
С SPTD.sys и а347bus.sys разобрался,это драйвера алкоголя и демона,безопасный режим восстановил при помощи скрипта 10 "Восстановления система",сейчас сканирую Cureit,после проветрки логи AVZ высылать?
Логи после проверки Cureit в безопасном режиме
в логах ничего подозрительного ....
Большое спасибо за помощь.