zonetech.info

Printable View

29.11.2009, 17:11
LdrLo

zonetech.info

Добрый день.

Последние несколько дней интернет начал пропадать через минут 2-15 (не знаю от чего зависит). При этом появляется сообщение, что generic... сделал ошибку и будет закрыт, через секунд 15-1.5 минуты компьютер зависает.

Стоял Norton, который находил какие-то исполняемые файлы, успешно их совал в карантин.

Проверил Cureit. Найдены какие-то вирусы, в основном - в папке карантин нортона. Решил попробовать Касперским, скачал триальную версию, второй день работает, провел полную проверку. Найдены вирусы и удалены. Но время отв ремени появляется сообщение, что svchost Пытается скачать с сайта zonetech.info ехе файл. Иногда появляется сообщение про то, что этот же процесс пытается загрузить с rapidshare или других сайтов какую-то заразу, которую касперский уничтожает. Опять таки, время от времени появляется ошибка Generic... сделал ошибку и будет закрыт и компьютер виснет...
Иногда появляется сообщение от Kaspersky про найденыйв файле mt1[1].exe HEUR:Trojan.Win32.Generic

Выкладываю логи AVZ. HijackThis не запустился, так как ругнулся на отсутствие msvbvm60.dll. Помогите, пожалуйста.
29.11.2009, 17:27
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\jcdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9211236433-3250188506-883649809-3709\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9211236433-3250188506-883649809-3709\wmfcgr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
DeleteFile('C:\WINDOWS\jcdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
29.11.2009, 18:21
LdrLo

Спасибо за оперативный ответ.
В папке Quarantine есть пустая папка 2009-11-29, поэтому ничего не присылал по красной ссылке Прислать запрошенный карантин вверху темы.
Пока делался сбор информации по одноименному скрипту, касперский ругнулся, что svchost пробует скачать файл с рапидшары. И примерно через минуту инет отключился. Пришлось перегрузиться.

Новые логи - ниже:
29.11.2009, 18:50
snifer67

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
29.11.2009, 21:16
LdrLo

Выкладываю:
29.11.2009, 21:42
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Заражено папок:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.

Заражено файлов:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.[/CODE]
29.11.2009, 22:44
LdrLo

Сделано:
29.11.2009, 22:49
thyrex

Больше ничего плохого не видно. Что с проблемой?
29.11.2009, 22:59
LdrLo

Пока... тьху три раза... ничего нет плохого. Ждемсь...

Update1:
Увы...
Касперский, как и в прошлые разы, ругается о попытке загрузить программой svchost файла с рапидшары.
Касперский определил заразу как "Trojan.Win32.Buzus.cqbm". Сравнил с логом предыдущих обнаружений - отличается только последними буквами (вместо Trojan.Win32.Buzus.cqbm указано, например, Trojan.Win32.Buzus.cqjn или Trojan.Win32.Buzus.cnbx )
29.11.2009, 23:23
миднайт

сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]
+ лог HiJackThis.
30.11.2009, 01:15
LdrLo

Доброй ночи. Сделал:

П.С. проблему с запуском hijackthis (не хватало длл-ки) решил копированием с другого компьютера нехватающего файла...
30.11.2009, 16:42
LdrLo

Добрый день.
Апдэйт темы

[SIZE="1"](последний ответ был вчера, а по правилам - если в течении дня нет ответа, то можно тему апдэйтить...)[/SIZE]
30.11.2009, 22:41
миднайт

Сканирование CureIt делали из безопасного режима?
Пройдитесь по системе этим [url]http://support.kaspersky.ru/viruses/solutions?qid=208636926[/url]
Загрузитесь с LiveCD, замените файл C:\WINDOWS\system32\drivers\atapi.sys
на чистый из вашего дистрибутива. Повторите лог gmer.
30.11.2009, 23:39
LdrLo

Уважаемый миднайт. На дистрибутве нашел файл ATAPI.SY_ - на него менять? [SIZE="1"](естестно, с заемной расширения на sys)[/SIZE]
30.11.2009, 23:42
pig

Это сжатый, его распаковать надо.
30.11.2009, 23:44
миднайт

Да, именно на него (распаковав см faq). Скопируйте зараженный atapi в какую-нубудь папку, в последствии, закарантиньте его по правилам и пришлите по красной ссылке вверху темы.
Вот вам в помощь [url]http://virusinfo.info/showthread.php?t=51654[/url]
01.12.2009, 09:45
LdrLo

Доброе утро.

Отправил закарантиненый файл два раза... Надеюсь меня за это ругать будут, но не сильно: первый раз отправил без пароля, второй раз - с паролем. Лог выложу вечером...

П.С. И еще раз спасибо всем помогающим:beer:
02.12.2009, 01:26
LdrLo

Доброй ночи.

Логи от GMERa:
02.12.2009, 02:06
миднайт

Упорная зараза :). Проверьтесь этим [url]http://www.esagelab.com/files/tdss_remover_latest.rar[/url]
Повторите процедуру с заменой файла C:\WINDOWS\system32\drivers\atapi.sys
И повторите после этого лог gmer снова.
02.12.2009, 09:53
LdrLo

Доброе утро.

Утилита tdss_remover запустилась, нашла десятка два объектов, порекомендовала удалить. Выбрал "удалить", на что получил ответ, что файл такой-то не может быть удален (неудаляемых файлов было несколько, не записал как называются).
Вопросов несколько:
1) нужно ли запускать ее в безопасном режиме? (запускал в обычном)
2) нужно ли отключать антивирь (касперский) при проверке данной программой? (Касперский ругнулся, что процесс пытается получить доступ к драйверам чего-то и если этому процессу разрешить работу, то касперский не сможет его по ходу контролировать)
3) можно ли распаковывать atapi.sy_ на другом компьютере, а потом копировать в нужную папку из под LIVE CD? Или обязательно делать как написано в инструкции винды - зайти в режиме отладки и т.д.?
02.12.2009, 11:38
thyrex

[QUOTE='LdrLo;522985']3) можно ли распаковывать atapi.sy_ на другом компьютере, а потом копировать в нужную папку из под LIVE CD?[/QUOTE]Можно
02.12.2009, 21:55
LdrLo

Эх! Увы, компьютер выкинул чудеса - после запуска рекомендованой программы и удления того, что там найдено, тачпад на ноутбуке не работает, и в устройствах окло "мышь пс/2" стоит восклицательный знак (и еще около почти всех сетевых устройств стоит восклицательный знак). Может не стоило удалять то, что утилитка рекомент удалить?!
03.12.2009, 01:44
миднайт

Вы не пометили что именно удалила утилита? Попробуйте обновить драйвера на сетевые устройства и на тачпад.
03.12.2009, 08:22
LdrLo

Нет, не помню... Там было пунктов 20, и я решил помахать шашкой - "удалить все" поставил. Относительно обновить драйвера: отдельно драйвер для Microsoft ps/2 мыши я не нашел нигде (может плохо искал). В инет тоже не получилось подключиться, что бы загрузить с сайта майкрософта дрова - в сеть подключатся, VPN не поднимается. Винду переустановил поверх старой-надеялся, что хоть так что-то положительное произойдет. Увы, эффекта это тоже не принесло. Подскажите, пожалуйста, что еще сделать?

П.С. Еще как-то чудно называются отсутствующие девайсы -с приставкой касперски (см. вложение - скриншот) - так идолжно быть?
03.12.2009, 10:11
Rene-gad

[QUOTE=LdrLo;523937] отдельно драйвер для Microsoft ps/2 мыши я не нашел нигде (может плохо искал). [/QUOTE]Есть IntelliPoint - универсальный мышиный драйвер от Микрософта.
[QUOTE=LdrLo;523937]
Подскажите, пожалуйста, что еще сделать?[/QUOTE]Если переустановка Винды и удаление оборудования ни к чему не привело - может материнка накрылась?
03.12.2009, 20:50
LdrLo

Интелипоинт поищу, может получится установить.
Про материнку.. тьхутьхутьху... хотя ноут на гарантии, но все же...

А вот тачпад наверняка работает: например, при загрузке LIVE CD от Dr. Web никаких проблем с ним не было...

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 39 минут[/I][/B][/color][/size]

Установил интеллипоинт. Не помогло... Неужели формат С, и понеслась по новой?!:(
03.12.2009, 22:26
миднайт

Никаких формат С!
Выполните sfc\ scannow [url]http://support.microsoft.com/kb/310747/ru[/url]
Попробуйте накатить 3 сервис пак+обновления, если не поможет.
Во вложении 2 файла драйвера на мышь(должны лежать в C:\WINDOWS\system32\drivers\) (к сожалению нет под рукой системы с 3 сервис паком, взял со вторым) В диспетчере устройств драйвер обновить попробуйте.
[ATTACH]186694[/ATTACH]
04.12.2009, 09:22
LdrLo

[B]миднайт[/B],
Выполнил в такой последовательности:
1)SFC
2) заменил дрова мышки файлами из Вашего вложения (в указанной папке они были уже)
3) накатил сервис пак 3. Обновления немогу накатить - не поднимается VPN :(
Прийдется формат С делать... А счастье было так возможно...
Все равно спасибо за помощь...
05.12.2009, 09:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]