Стоял 3-й NOD. Удалил, поставил McAfee VS Ent 8.5 - ничего не нашел. Запустил AVZ - получил ребут. Удалил McAfee, сделал проверку.
Явно что-то еще осталось.
Логи прикрепил. Прошу помочь.
Спасибо.
Printable View
Стоял 3-й NOD. Удалил, поставил McAfee VS Ent 8.5 - ничего не нашел. Запустил AVZ - получил ребут. Удалил McAfee, сделал проверку.
Явно что-то еще осталось.
Логи прикрепил. Прошу помочь.
Спасибо.
McAfee - осталась
Богато! ;)
Пока вот так, дальше посмотрим -
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Bhn16');
SetServiceStart('Bhn16', 4);
QuarantineFile('C:\WINDOWS\system32:svchosm.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
QuarantineFile('C:\WINDOWS\system32\mms32pnqpn.dll','');
QuarantineFile('C:\WINDOWS\system32:svchosm.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn16.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\Ира\Local Settings\Application Data\cftmon.exe','');
DeleteFile('C:\Documents and Settings\Ира\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Bhn16.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\system32:svchosm.exe');
DeleteFile('C:\WINDOWS\system32\mms32pnqpn.dll');
DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32:svchosm.exe:$DATA');
BC_ImportDeletedList;
BC_DeleteSvc('Bhn16');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18937[/url]).
Сделайте новые логи.
ОК, я поищу утилиту для полного удаления, хотя странно вообще:(
Это единственная проблема, которая видна в логах?
[quote=Ven;195360]Это единственная проблема, которая видна в логах?[/quote]
Если бы! :D
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O21 - SSODL: msaa32.dll - {687D7EB1-5A8E-3740-01C8-19F50001492F} - (no file)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\mms32pnqpn.dll[/CODE]
Два врача - это как-то непривычно:) Подчиняюсь сразу двум:)
Скрипт выполнил.
Хиджаком поправил.
Логи прикрепил.
Карантит прикрепил.
Все на месте. У вас скрипт выполнился или нет?
Да...комп ушел в ребут. Может логи не заменяются и надо удалять старые?
А собщения об успешном выполнении значит не было?
Давайте так, чтобы долго не мучиться:
1. Скачайте эту программу [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
2. File - Force Delete вот этим двум файлам:
C:\WINDOWS\System32\Drivers\Bhn16.sys
C:\WINDOWS\System32\Drivers\Amw66.sys
3. Перезагрузитесь и выполните скрипт из поста #2.
4. Сделайте новые логи.
Выполнил еще раз скрипт...комп сам перезагружается, сл-но я не знаю выполнен скрипт или комп уходит в ребут по причине магнитных бурь в моей голове:)
После ребута переименовал папку ЛОГ, сделал новый лог...папка ЛОГ создалась сама, конечно же.
Да, сообщения об успешном выполнении скрипта я не видел.
Файлики убил. Иду на ребут.
Теперь ребут по окончанию выполнения скрипта был корректным - с завершением работы. Вот новые логи.
Еще вот такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ubg51');
SetServiceStart('Ubg51', 4);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\qtprot.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ubg51.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Ubg51.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Ubg51');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите весь.
И еще раз лог syscheck.
Вот лог.
Карантин прислал.
Упрямые они у вас!
Удалите IceSword'ом (force delete) эти:
C:\WINDOWS\System32\Drivers\Ubg51.sys
C:\WINDOWS\system32\WLCtrl32.dll
а затем выполните скрипт:
[code]
begin
BC_DeleteSvc('qtprot');
BC_DeleteSvc('hdport');
BC_DeleteSvc('Amw66');
BC_DeleteSvc('Ubg51');
BC_DeleteFile('C:\WINDOWS\system32\hdport.sys');
BC_DeleteFile('C:\WINDOWS\system32\qtprot.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте логи syscheck и HijackThis.
[b]Backdoor.Win32.Delf.dfs[/b] C:\WINDOWS\system32\qtprot.sys
[b]Trojan-Downloader.Win32.Agent.jjt[/b] C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
[b]Trojan-Downloader.Win32.Diehard.dr[/b] C:\WINDOWS\system32\drivers\ip6fw.sys
[b]Trojan-Dropper.Win32.Small.bfr[/b] C:\WINDOWS\Temp\winlogon.exe
mssrv32.exe и wctrl32.dll - свежие
Логи.
Я чист?:) Или бацылы еще во мне?:)
Кстати, здесь же на форуме есть тема с рекомендоваными антивирусами. Среди них нет AVZ. Как понять - AVZ - это для экстренных случаев?
Опять оно живо под другим именем!
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
QuarantineFile('c:\windows\system32\msrr.exe','');
DeleteFile('c:\windows\system32\msrr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если что-то попадет в карантин - пришлите.
Удалите строчку с 'c:\windows\system32\msrr.exe' через AVZ - Менеджер ActiveSetup.
IceSword - force delete: C:\WINDOWS\System32\drivers\Gms38.sys
Сразу же скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Gms38');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Gms38.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
и новый лог syscheck.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
AVZ - не антивирус, а инструмент воина-освободителя ;)
Бесполезно, судя по-всему...опять в драйверах появляется левый файлик...каждый раз под новым именем, но не сразу после ребута, а спустя какое-то время.
Вот лог.
[url]ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe[/url]
Сделайте ей скан и заархивированный лог прикрепите
ОК. Делаю. У McAfee есть такая цацка, как защита доступа...так вот там можно выставить запрет на запись в папку и если вдруг какой-то процесс попытается писать, то маккафи скажет что это за процесс.
Вот лог.
\??\C:\WINDOWS\System32\drivers\Flq40.sys ("\\?\c:\windows\system32\drivers\flq40.sys") File version = (null), File size = 26240, File modification date = 01/03/2008 14:52, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-818417260|0x86b6a9522ee523037456dfb7a641d72d|
А Вы на время всех скриптов\удаления Ice Sword-ом интернет отключали? и антивирус?
Интернет не отключал. Антивирус - да, точней у меня его прсото нет. Вот хочу сейчас касперского 7-го поставить.
Интернет нужно отключать
IceSword - force delete: C:\WINDOWS\System32\drivers\flq40.sys
Сразу же скрипт в AVZ:
[code]begin
BC_DeleteSvc('flq40');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\System32\drivers\flq40.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
и новый лог syscheck.
Как я понимаю, все проблемы от svchost.exe
У нас новый гость-блезнец: Djp62.sys
Надо подумать...
svchost.exe можно заменить заведомо здоровым?
Я сейчас поставил проверку в Касперском....посмотрим что он найдет.
Сначала сделайте проверку... svchost.exe по-моему легитимный, с подписями Майкрософта...
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в безопасном режиме[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
После этого проверьте в IceSword'e [url]http://virusinfo.info/showthread.php?t=17228[/url], есть ли файл C:\WINDOWS\system32\WLCtrl32.dll и если есть, удалите, как написано в инструкции (force delete и перезагрузка).
Я грешу на svchost.exe из-за того, что Касперский говорил о том, что этот процесс пытается отправить почту и т. п.
Я правильно понимаю, что в безопасном режиме делается только выполнение скрипта, а остальное уже в обычном режиме?
Я смогу сделать это только 2.03.2008 примерно в 11 часов по Москве...а то и в 12. Надеюсь, здесь будут те, кто сможет помочь.
Спасибо всем, кто помогает и вообще всему проекту:)! Очень выручаете, ребята!
[QUOTE=Ven;195636]Я грешу на svchost.exe из-за того, что Касперский говорил о том, что этот процесс пытается отправить почту и т. п.[/QUOTE]Не надо на него грешить. Он прошел по базе безопасных и рассылал почту не своей воли, а по принуждению зловредного драйвера. Вы всё правильно поняли.
Да, кстати, безопасный режим - с поддержикой сети или без нее?
Без. Однозначно.
Сразу скажу чтоб небыло непонятностей - я на ночь оставлял касперского искать руткиты. Он понаходили кучу вирусов. Если надо - могу лог прислать лог того, чо он нашел. Один файл он удалить не мог (c:\windows\system32\msjq.exe), я удалил его через через IceSword.
Скрипт выполнил в безопасном режиме...комп ушел в нормальный ребут. Я сразу глянул в карантин - там пусто (возможно, касперский постарался).
Проблемы пофиксил.
Логи прикрепил.
Файлика нет.