проблемы с антивирями

Вчера что-то цапнул из сети
Зловред выгрузил антивирь (nod32), не дает загрузить ничего другого антивирусного. Нет возможности войти на сайты производителей антивирусного ПО, к Вам тоже не войти. Загрузить AVZ и hijackthis не удается, логи послать не могу.
В безопасном режиме прогонял curreit и Antiviral tool, понаходили троянов, удалили. Результат тот-же.
Как быть?


Combofix почему-то не могу скачать, после нажатия кнопки Download открывается большой документ с кракозябликами.

Давайте попробуем сделать так:
- скачайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPtool[/URL]
- установите и запустите его
- откройте вкладку [B][COLOR="Blue"]Ручное лечение[/COLOR][/B]
- Нажмите кнопку [COLOR="Blue"]«Сбор информации о системе»[/COLOR].
- создавшийся лог прикрепите к новому сообщению

Новый не могу скачать (кракозяблики).
Старый могу запустить только из защищенного режима, логи будут иметь смысл?

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Из защищенного тож не запускается

[QUOTE='yshl;716977']Combofix почему-то не могу скачать, после нажатия кнопки Download открывается большой документ с кракозябликами.[/QUOTE] Оперой пользуетесь? Если да, то выделите ссылку полностью в адресной строке, нажмите скопировать и вставьте скопированную ссылку в закачки.

Смог запустить только комбофикс и то только из защищенного режима.
вот лог.

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\program files\Common Files\jqyrg4inedzz13m
c:\documents and settings\NetworkService\Application Data\gqlidy.dat
c:\windows\system32\2d75635e.exe
c:\windows\system32\arfvtv.exe
c:\windows\system32\jwnpmr.exe
c:\windows\TEMP\82801a3e3f00

Driver::
abce2c5ae221fae2

NetSvc::

Folder::
c:\program files\Common Files\e8245232

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

- Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- Сделайте логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])

Теперь смог логи сделать

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\aec.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

C:\WINDOWS\system32\Drivers\aec.sys замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Сделайте новые логи

Не могу найти в дистрибутиве файла aec.sys для замены, драйвер мог ставиться с дровами устройств(напр. звуковухи)?
Новые логи сделаны

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- файл [COLOR="Blue"][B]sfcfiles.log[/B][/COLOR] прикрепите к сообщению

- Замените файл C:\WINDOWS\system32\Drivers\aec.sys на чистый из вложения.

на aec.zip ругается что не может распаковать (неожиданный конец архива)

не то вложил, исправился

- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll [URL="http://virusinfo.info/attachment.php?attachmentid=264140&d=1282796159"]отсюда[/URL].

файл aec.zip - у меня распавовался хорошо, попробуйте еще раз

aec не распаковался ни на одной из трех совершенно разных машин
с sfcfiles все хуже, распаковал, заменил в защищенном режиме на dll(поменял расширение), винда не грузится совсем больше
Пробовал из консоли восстановления дернуть из дистрибутива при команде expand sfcfiles.dl_ c:\windows\system32\sfcfiles.dll пишет unable to create file
не хочется переустанавливать винду

sfcfiles установил, aec так и не распаковать

На всякий отсылаю новые логи

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\TEMP\8000ac459881','');
DeleteService('b71ad993662ce47a');
DeleteFile('C:\WINDOWS\TEMP\8000ac459881');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Замените файл C:\WINDOWS\system32\drivers\aec.sys на чистый [URL="http://exfile.ru/130610"]отсюда[/URL].
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]

Насчет гмер лога не очень уверен, что так как надо получилось.
В один момент вышла надпись об обнаружении руткита и сканирование закончилось (или прекратилось)

1. - Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]8mxhw8fc.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
8mxhw8fc.exe -del service nsmrim
8mxhw8fc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nsmrim "
8mxhw8fc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nsmrim "
8mxhw8fc.exe -reboot[/CODE]

Компьютер перезагрузится.

После перезагрузки:
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\DrvAgent32.sys','');
QuarantineFile('C:\WINDOWS\TEMP\80006017853e','');
DeleteService('c7653c2be9b1f830');
QuarantineFile('C:\WINDOWS\TEMP\80802f9cf6f4','');
QuarantineFile('C:\WINDOWS\TEMP\800069799b89','');
DeleteService('5111ce17549cbbb1');
DeleteService('3f73cf7f6ea439c1');
DeleteFile('C:\WINDOWS\TEMP\800069799b89');
DeleteFile('C:\WINDOWS\TEMP\80802f9cf6f4');
DeleteFile('C:\WINDOWS\TEMP\80006017853e');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR]

Батник не смог выполнить ни одной операции (кроме перезагрузки)
Ругается на неверный параметр

[QUOTE=polword;719275]
- Сделайте повторный лог [COLOR=Blue]virusinfo_syscheck.zip[/COLOR][/QUOTE]
делайте лог

Сделал

От NOD32 всплывают окна типа адрес заблокирован gbsup.com и его производные.

Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url]. В меню драйверов правой кнопкой по [B]nsmrim[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку.

Сохраните [B]html-лог[/B] работы утилиты, заархивируйте его и прикрепите к своему сообщению

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\nsmrim.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\nsmrim.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('nsmrim');
BC_DeleteSvcReg('nsmrim');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Не могу скачать OSAM по Вашей ссылке, впрочем с других сайтов тоже (не открывает страницы), пробовал с другого компа( IP такой-же)- такая же ерунда.
Без запуска OSAMA имеет смысл выполнение скрипта?

Давайте попробуем так

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\nsmrim.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\nsmrim.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\nsmrim.sys');
BC_DeleteSvc('nsmrim');
BC_DeleteSvcReg('nsmrim');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

новые логи

Ап

Скачайте OSAM отсюда [url]http://zalil.ru/29833954[/url] и выполните указания из сообщения №26.

OSAM выполнил, скрипт выполнил, вот лог

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Опс, какой-то глюк, не могу приложить файл почему-то
попытка два:

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Бред какой-то, всегда без проблем логи кидал, теперь он больше допустимого, как быть?

slil.ru :)

Ступил, не понял про переполнение общей кучи выложенного

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\qnmorn.sys','');
SetServiceStart('qnmorn', 4);
StopService('qnmorn');
DeleteService('qnmorn');
DeleteFile('C:\WINDOWS\system32\Drivers\qnmorn.sys');
BC_DeleteSvc('qnmorn');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\qnmorn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]


После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.

Сделано

[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Выполнил рекомендации из текстовика(приложен), при повторном прогоне скрипта новый лог не появляется.

Думаю лечение можно считать оконченным.
[B]yshl[/B], согласны?

Видимых проблем нет, спасибо за помощь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\aec.sys - [B]Rootkit.Win32.Bubnix.bba[/B] ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\drivers\\nsmrim.sys - [B]Rootkit.Win32.Bubnix.bao[/B] ( DrWEB: Trojan.NtRootKit.9658, BitDefender: Gen:Variant.Bubnix.1, AVAST4: Win32:Bubak [Rtk] )[/LIST][/LIST]