Не работают ни системные программы, ни приложения.

К сожалению инструкции следовать полностью не могу - Highjack загрузил, но прогнать его не могу.

Обращаюсь к Вам как к специалисту в антивирусных вопросах.
Я подхватил вирус, который не смогли вычистить ни Кашперский, ни
Avira, ни AVZ, ни даже ComboFix. Он (а может и не он один) все время
проявлялся даже после неоднократных проходов с самыми "суровыми"
установками.

В конце концов у меня слетели USB порты и другие Коммуникационные
устройства. Я залез на MS и нашел там рекомендации по дополнению
реестра, если такое произошло. После перезагрузки у меня не работает
ничего... Ничего кроме Windows и двух браузеров IE и Firefox, которые
были запущены в момент дополнения реестра. Надо сказать, что у меня
отсутсвовал раздел USB, в котором согласно MS нужно было внести одну строку.

У меня сейчас не запускается ни один из exe/com файлов (пишет "не
удалось найти их") и не работает меню ПУСК (полностью). Восстановление предыдущей версии и безопасный режим не помогают. Я даже не знаю какие сохраненные версии WXP у меня есть в запасе.

Что посоветуете или что еще нужно уточнить для off-line диагностики?

Высылаю Вам отчет BitDefender - единственной (пока обнаруженной)
программы, которая сканирует онлайн и не грузит исполняемых (в моем
случа не исполняемых) файлов. Так же высылаю Вам лог AVZ, сделанный до этого сбоя. Файл avz***.txt надо переименовать в rtf для чтения. Д.б. еще логи от Касперского и ComboFix, но я не знаю где их искать.

Прошу - помогите, что мне надо сделать? Форматировать очень не хочется
- слишком много переустаналивать потом. Вроде есть варианты - но пока
нет возможности их испонить. Есть ли какая-нибудь фриваре утилита
способная удалять эту и править эту фигню онлайн?

Заранее спасибо, Александр

Да еще, каждый прогон VIRUS TOTAL некоторых системных файлов - даже безобидных, на одной или двух антивирусных программах регистрирует вирусы (разные).
Например, для explorer.exe (вырезка из таблицы):
DrWeb 5.0.2.03300 2010.11.18 -
Emsisoft 5.0.0.50 2010.11.18 -
[B]eSafe 7.0.17.0[/B] 2010.11.18 [B]Win32.TrojanHorse[/B]
eTrust-Vet 36.1.7984 2010.11.18 -
F-Prot 4.6.2.117 2010.11.18 -
F-Secure 9.0.16160.0 2010.11.18 -
Fortinet 4.2.254.0 2010.11.18 -
GData 21 2010.11.18 -
Ikarus T3.1.1.90.0 2010.11.18 -
Jiangmin 13.0.900 2010.11.18 -
[B]K7AntiVirus[/B] 9.68.3021 2010.11.18 [B]Riskware[/B]
Kaspersky 7.0.0.125 2010.11.18 -
McAfee 5.400.0.1158 2010.11.18 -

[size="1"][color="#666686"][B][I]Добавлено через 41 минуту[/I][/B][/color][/size]

В целом очень похоже на тему "не удаляемый вирус msvmiode". У меня тоже эти вирусы были. но я был дурак и полез на них сам. Теперь прошу помощи. "Знал бы прикуп...", а теперь только IE остался...
Сначала я, прогнав ComboFix, вроде обрадовался - вроде нет ничего - но через несколько дней все повторилось и уже ничего не помогало. Может кто из Вас возьмется?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 46 минут[/I][/B][/color][/size]

Нашел установочный диск WXP. Хочу попробвать заменить сектора через консоль восстановления (все равно терять-то нечего). Однако при переносе данных из Documents and settings столкнулся с тем, что файла Mozilla переносятся все за исключением parent.lock (пишет используется). Закрыл Mozilla. Все равно не переносится. Полез разбираться в IE что это за файл, хотел прогнать через VIRUS TOTAL на IE (раньше гонял его на Mozilla). Не получилось, хотел вернуться к Mozilla - пишет программа работает, ноо к ней нет доступа (хотя я из нее вышел).

МЫСЛЬ - не связан ли этот новый вариант вирусов, с чем сейчас борется вся ваша лаба, с вирусами приходящими через Mozilla. Так мысль на досуге - может поможет чем...Я то уже каюк похоже...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 9 минут[/I][/B][/color][/size]

Хотел тут перечень не переносящихся файлов создать, но понял, глупость - firefox у меня в процессах подзастрял. Так, что вряд ли пригодятся мои старания...

Если я правильно понимаю, AVZ у вас работает?
Тогда сделайте лог в соответствии с п.1 раздела [I]Диагностика[/I] [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL].

Ничего не работает, иначе сделал бы по правилам. Не могу запустить ни одну программу кроме IE (только гуляет по дереву - программы не запускает) и Mozilla + читает *.rar и *.txt - это все. В одном месте видел *jpg, но прочитать его не смог MS Picture Manager.

Я попробовал консоль восстановления - CHKDSK не исправил проблем, FIXBOOT делает свое дело, но BOOTCFG - все равно ругается. Запускать FIXMBR не решился до проверки антивирусом. Могу ли я в этом режиме запустить AVZ?.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 22 минуты[/I][/B][/color][/size]

процессы msvmiode и cf...32 постоянно появляются после перезагрузки - удаляю вручную.

Народ, так что даст запуск AVZ в режиме консоли восстановления? Я хотел бы выполнить правила, чтобы у Вас было представление о системе. Это единственный способ.

Из консоли AVZ однозначно работать не будет.
Попробуйте в [I]Безопасном режиме с поддержкой командной строки[/I].

Наконец, вчера, воспользовавшись командой BATCH по рекомендации см. ссылку [URL]http://virusinfo.info/archive/index.php/t-60893.html[/URL] (там в середине есть четкая инструкция восстановления реестра из консоли восстановления) я восстановил реестр и сегодня, прогнав ночью DrWeb отправляю Вам файлы согласно правилам.
БОЛЬШОЕ СПАСИБО, что ВЫ ЕСТЬ. Если бы не было - не было бы надежды, не было бы уверенности, что однажды Вы поможете.
РЕКОМЕНДАЦИИ всем, кто не может получить помощи. НИКОГДА ни складывайте лапки, особенно если есть за что бороться. У ребят много работы, и правила придумали не зря. Мой случай отнял бы у них слишком много времени, как и любой другой сложный. Правила - упрощают жизнь. СТРЕМИТЕСЬ ИХ ВЫПОЛНИТЬ и у ВАС ВСЕ ПОЛУЧИТЬСЯ. Только не делайте лишних движений...

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - Startup: _uninst_setup_9.0.0.722_16.11.2010_08-16[1].exe.lnk = CentoCapital\Local Settings\temp\_uninst_setup_9.0.0.722_16.11.2010_08-16[1].exe.bat
O4 - Startup: _uninst_setup_9.0.0.722_17.11.2010_16-10[1].exe.lnk = CentoCapital\Local Settings\temp\_uninst_setup_9.0.0.722_17.11.2010_16-10[1].exe.bat
[/code]
Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4894964670-2857508954-162392493-6446\syscr.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('87749191');
BC_DeleteSvc('87749192');
BC_DeleteSvc('catchme');
BC_DeleteSvc('dprot');
BC_DeleteSvc('GMSIPCI');
BC_DeleteSvc('ienxewbsc');
BC_DeleteSvc('NdisHlpw');
BC_DeleteSvc('setup_9.0.0.722_16.11.2010_08-16[1]drv');
BC_ServiceKill('bchruxn');
BC_ServiceKill('hwhpp');
BC_ServiceKill('kbqszsia');
BC_ServiceKill('qkxbskosp');
BC_ServiceKill('rkofov');
BC_ServiceKill('umlrosn');
BC_ServiceKill('uolktiw');
BC_ServiceKill('xowxx');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=91983[/url]).
Сделайте новые логи.

Bratez,

Если трех строк 04 из списка "Пофиксить в HiJackThis" нет, это плохо? Надо перегрузиться, чтобы они точно встали на место? Или можно без них. Просто,. чтобы иметь связь с Интернетом мне пришлось прогнать AVZ по полной, который вычистил/исправил и завесил tqaui на перезагрузку. До этого ни один браузер не находил сайтов.

Александр

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

HiJackThis не корректирует две строки из списка:

O4 - Startup: _uninst_setup_9.0.0.722_16.11.2010_08-16[1].exe.lnk = CentoCapital\Local Settings\temp\_uninst_setup_9.0.0.722_16.11.2010_08-16[1].exe.bat
O4 - Startup: _uninst_setup_9.0.0.722_17.11.2010_16-10[1].exe.lnk = CentoCapital\Local Settings\temp\_uninst_setup_9.0.0.722_17.11.2010_16-10[1].exe.bat

Пишет unexpected error, далее повторяет строку, и error #5 - Invalid procedure call or argument. Он рекомендует отправить им это сообщение для улучшения программы.

Прогонять AVZ скрипт все равно или подождать Вашего ответа?

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Все сделал по Вашей рекомендации. Наверное, спасибо, - буду надеяться, что основное позади.

Тем не менее, [B]помогите восстановить коммуникационные устройства[/B], так как они по прежнему не обпределябтся. Сам, без Вашего руководства, теперь опасаюсь лезть исправлять наделанное в результате работы вирусов.

Заранее спасибо, Александр

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Сорри за неправильные термины. Не работают:
1) Контроллеры USB
2) Порты LTP и COM
3) DVD и CD дисководы

Поэтому внешних устройств нет, а они нужны. Как работать-то...

[QUOTE=Bratez;735097]
Сделайте новые логи.[/QUOTE]
- логи сделайте

Я так же отослал Вам карантинный zip.

Время от времени сампроизвольно (ну от работы внутренних процессов - каких не знаю) отключается брендмауер WXP. Приходится включать вручную.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 25 минут[/I][/B][/color][/size]

Периодически отключается брендмаур WXP - "сам". Приходится включать его вручную. А после отрубается Интернет explorer. Похоже последнее как-то связано с запуском mail.ru. Отключился диспетчер задач. Похоже сейчас начнется... И верно, экран перемегинул раза три-четыре, но все рабочие проги остались на столе. Короче на нашем фронте без перемен, идут местные бои. Кстати, это сообщение пытался отправить столько раз сколько хдесь предложений. Добавлял по мере неудач с отправкой.
Вышел и снова запустил Диспетчер - taskmgr.exe встал на место. Запустил AVZ по новой. Отправить сообщение через IE не могу, хотя Mozilla вроде работает - сейчас запущу через нее. Нет Mozilla тоже заткнулся. msvmiode.exe снова в процессах...
Снова заработало. Отправлю как я Вам то что просили под ВАЖНО...

[size="1"][color="#666686"][B][I]Добавлено через 57 минут[/I][/B][/color][/size]

Загрузил zip скрипта подозрительных файлов для запущенных IE, Mozilla и Opera. По ссылке: [URL="http://virusinfo.info/showpost.php?p=735392&postcount=9302"]http://virusinfo.info/showpost.php?p=735392&postcount=9302[/URL].
Надеюсь тоже поможет кому.

[QUOTE]Восстановление системы: [COLOR="Red"][B]включено[/B][/COLOR][/QUOTE]
Я же писал - отключите!

Съемные носители (флешки и т.п.) используете?
Подключите их и оставьте подключенными.

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4894964670-2857508954-162392493-6446\syscr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте новый лог [I]virusinfo_syscure[/I] (только п.1 раздела Диагностика).

Я выключал восстановление в прошлый раз - потом включил. Его, что не нужно включать пока не разрешим проблему? А как узнаем разрешили или нет? Я вот думал, что прогнав Combofix в середине позапрошлой недели решил проблему, но стало еще хуже. Откуда они лезут-то хоть к Интернету не подключайся.

Флеш и внешний HD все время подкючены - но из-за проблем с конторллером USB не определяются в системе. У меня есть в запасе рекомендация от MS, котороую я еще не успел сделать, чтобы их восстановить, но без чистки компа лучше этого не делать, а то опять все слетит.

Ловите запрошенный файл. Надеюсь, что хоть и потихонечку, но мы их преодолеем. Это что, какая-то новая разновидность, раз не чистится стандартными средствами?

Съемные носители можно отключить.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\82.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Войдите [B]в безопасный режим[/B] и выполните этот скрипт еще раз.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новый лог [I]virusinfo_syscure[/I]
(понимаю, что долго и нудно, но только он показывает то что надо ;)).

Насчет доолго - ерунда. Вам БОЛЬШОЕ СПАСИБО за то, что Вы уделяете внимание всем кто нуждается - это бесценно.
Диски у меня ни включаются, ни выключаются - это первичная проблема, с которой я столкнулся, а потом уже появились системные проблемы реестра. После самолечения. Внешние носители перестали определяться во всех режимах, включая консоль восстановления. Система их просто не видит. как с этим бороться -не знаю. После лечения обращусь за советом, так как полноценная работа может быть только с ними - на них вся инфа, но они тоже заражены. Это показывалось еще до их отключения.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 31 минуту[/I][/B][/color][/size]

Все сделал карантин в 14:57 (см. CENTROAVTO) - лог отправил еще в 15 с чем-то. К сожалению отписываюсь только сейчас.
У меня тоже все сремя выскакиваю msvmiode и cf***32, идет подмена taskmeenager и AVIR регирует на CONFLIKER. Я вижу в основном они все побежедны. Обратите на меня внимание плиз.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Интернет работает только после погона AVZ с блокировкой перехватчиков. Может и не из-за блокировки последних, но факт после прогона AVZ со всеми установками. До этого сайты не находит.

[QUOTE='trismegist888;735558']лог отправил еще в 15 с чем-то[/QUOTE]
Лог сюда надо прикрепить.

Bratez,
Я прогнал DrWeb 21_11, сегодня ночью в безопасном режиме с удалением всего. При перезагрузке CHKDSK долго правил записи. После перезагрузки еще вычистил его карантины и переносы. Интернет проработал минут 20-30. mscvmiode и сf***32 опять в taskmaneger. Убил. Прогнал AVZ. Интернет заработал. Отправляю Вам логи вновь согласно правил.

По логам: сначала AVZ с лечением, потом AVZ просто, потом HiJackThis. msvmiode b cf***32 профиксил в HiJackthis сам.

Так же повтороил процедуру
[QUOTE]
Выполните скрипт в AVZ:

Код:
begin ...........;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится.
Войдите [B]в безопасный режим[/B] и выполните этот скрипт еще раз.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новый лог [I]virusinfo_syscure[/I]
[/QUOTE]
И отправил по ссылке текущий карантин

Народ, а пока мы сражаемся (если, конечно, мое вялое движение можно так назвать) с вирусами, может подскажете как восстановить коммуникационные устройства, чтобы USB порты заработали. Нет мочи сидеть без внешних драйвов.

Проблема такая: в диспетчере устроийств
в разделе "Контроллеры универсальной последовательной шины USB" стоят желтые треугольники и пишет "Драйвер этого устройства успешно загружен, но само устройство не обнаружено. (Код 41)" при этом ниже "это устройство используется(включено)". Перезагрузка драйверов и обновление конфигурации не помогает. Это собственно результат работы антивирусных програм и моих попыток дописать измененный вирусами реестр. Может кто подскажет, что надо сделать, чтобы внешние диски заработали - на них ведь тоже вирусы. Их тоже надо пролечивать.

Люди!

ЕСТЬ следующая информация от AVZ в безопасном режиме:
Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 23.11.2010 17:49:59
Загружена база: сигнатуры - 282523, нейропрофили - 2, микропрограммы лечения - 56, база от 22.11.2010 16:40
Загружены микропрограммы эвристики: 386
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 245477
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
[COLOR=red]Ошибка обмена с драйвером [00000002] - [1]
[/COLOR]1.4 Поиск маскировки процессов и драйверов
[COLOR=red]>> Маскировка драйвера: Base=BABF6000, размер=147456, имя = "\SystemRoot\system32\DRIVERS\USBPORT.SYS"
[/COLOR] Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
[COLOR=red]Ошибка обмена с драйвером [00000002] - [1]
[/COLOR]2. Проверка памяти
Количество найденных процессов: 16
Количество загруженных модулей: 217
Проверка памяти завершена
3. Сканирование дисков
....
[SIZE=2]
7. Эвристичеcкая проверка системы
[COLOR=blue]>>> Подозрение на маскировку ключа реестра службы\драйвера "swmsifz"[/COLOR]
[COLOR=blue]>>> Подозрение на маскировку ключа реестра службы\драйвера "wkzcgaqt"[/COLOR]
Проверка завершена
8. Поиск потенциальных уязвимостей
[COLOR=blue]>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)[/COLOR]
[COLOR=blue]>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)[/COLOR]
[COLOR=blue]>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)[/COLOR]
[COLOR=blue]>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)[/COLOR]
[COLOR=blue]>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)[/COLOR]
[COLOR=blue]>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)[/COLOR]
[COLOR=blue]> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)![/COLOR]
[COLOR=blue]>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)[/COLOR]
[COLOR=blue]>> Безопасность: к ПК разрешен доступ анонимного пользователя[/COLOR]
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 77988, извлечено из архивов: 55287, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 23.11.2010 18:33:53
Сканирование длилось 00:43:57
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - [URL="http://virusinfo.info/"]http://virusinfo.info[/URL]

БЕСПОКОЙСТВО:
1) почему ошибки обмена с драйверами?
2) Что за маскирующий процесс USB устройств
3) Как это все исправить?
4) Как убрать подозрения на маскировку ключей драйверов?
5) Как убрать все потенциальные уязвимости?
6) Почему отсутствует адрес
[B]HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\USB, [/B]на который ссылаетс MS поддержка для решения пробем с контроллерами USB (у меня она есть).

ПРОСЬБЫ: помогите, пожалуйста, а то нет доступа ни к CD ни к floppy, ни к внешним дискам и флешкам.

КРАТКОЕ ОПИСАНИЕ. Прикладываю логи в безопасном режиме (БР) и согласно правил (чуть позже приложу). Последний раз, когда я исправлял реестр, добавиав раздел USB, у меня слетел весь реестр целиком.
[/SIZE]

Ситуация ухудшилась. Я заблокировал административные права и она стала хуже.

Дамы и Господа, единственное, что всем, что ниже надо пользоваться очень аккуратно - не навредить бы. Я сумел решить, то, что отмечено, указанными способами. Использовал программы AVZ, GMAR, CC, ну и CureIt.

БЕСПОКОЙСТВО (все рекомендации я делал в безопасном режиме после чистки компа в безопасном режиме DrWeb (ом) по полной с удалением всего и без сетевых подключений + без внешних устройств (хотя последнее, наверное, не важно)) :
1) почему ошибки обмена с драйверами? - ответ типа -сбой AVZ из-за конфликтов (т.е. [COLOR=red]отаета нет[/COLOR])
2) Что за маскирующий процесс USB устройств (в процессе удаления cfdrive32 через консоль восстановления, я увидел равный ему по РАЗМЕРУ файл , который назывался brunin03.dll. Этот dll от принтера Brother, но у меня были основания подозревать его в подмене. Я снес Brother и загрузил обновление (еще не восстановил). Я вынес этот файл на Рабстол, переименовал и сообщение о маскировке драйвера пропало. Поскольку я еще ковырялся в службах, то точно сказать не могу от этого или нет, но очень похоже на то. Файл у других может быть любым другим, но скорее всего cfdrive32 клонирует себя под файлы системы. + verifier(ом) через командную строку вернуть исходный параметры драйверу, который стоит в конце строки (в моем случае это был USBPORT.SYS)
3) Как это все исправить? ([COLOR=red]овета нет[/COLOR] только по 2-му вопросу)
4) Как убрать подозрения на маскировку ключей драйверов? (есть рекомендации (в т.ч. и от Олега Зайцева), которые я сделал и эта проблема ушла [URL]http://kadets.info/showthread.php?t=64594[/URL]. Осталось только вручную из консоли восстановления убить инициирующий dll.)
5) Как убрать все потенциальные уязвимости? (Рекомендации по службам есть в [URL]http://www.hardforum.ru/t21131/[/URL], рекомендаций по устранению проблем безопасности, кроме прямой работы с политиками, не нашел)
6) Почему отсутствует адрес
[B]HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\USB, [/B]на который ссылаетс MS поддержка для решения пробем с контроллерами USB (у меня она есть). - [COLOR=red]ответа нет[/COLOR] - да собственно он и не нужен. Контроллер USB устройства, FDD и CD/ROM не работали потому, что... в момент проверки компа Касперским я вынул из USB внешний диск. При это касперский подменяет ссылку в реестре HKEY_LOCAL_MACHINE в разделе Class устройств, вставляя ключ UpperLimit = kltltdev.sys, который не имеет к этому отношения. Другой драйвер (уже системный) встал на параметр LowerLimit. Это сбой проги Касперского, который описан только в США (на английском) и они похоже ничего так и не обезопасили. НАДО - В реестре, в классах устройств удалить последовательно все метки с драйвером вставшим некорректно. [COLOR="Red"][B]ТОЛЬКО АККУРАТНО, СВЕРЯЙТЕ КАЖДЫЙ ШАГ СО СПРАВКОЙ ИЗ ИНТЕРНЕРТА, А ТО СНЕСЕТЕ НЕ ТО И ВОССТАНАВЛИВАЙ РЕЕСТР (ЕСТЬ UpperLimit. КОТОРЫЕ СНОСИТЬ НЕЛЬЗЯ - они должны быть.[/B][/COLOR]. Ссылка на профессиональные рекомендации (черт, потерял ссылку, в поисковике на "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}" - там надо разбираться).

СПАСИБО ЗА ТО. ЧТО НЕ БРОСИЛИ и ЗА ВРЕМЯ, КОТОРОЕ БЫЛИ СО МНОЙ (Я всегда знал,что Вы тут). Собственно, см. следующее сообщение от МИДНАЙТ.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

[B]- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление. [/B]

В AVZ выполните скрипт:

[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\centoc~1\locals~1\temp\48405.exe');
TerminateProcessByName('c:\docume~1\centoc~1\locals~1\temp\0113.exe');
QuarantineFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe,C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe,explorer.exe,C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe,Explorer.exe','');
DeleteService('rgupordwb');
QuarantineFile('C:\WINDOWS\system32\042.tmp','');
DeleteService('kahpcx');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('c:\docume~1\centoc~1\locals~1\temp\48405.exe','');
QuarantineFile('c:\docume~1\centoc~1\locals~1\temp\0113.exe','');
DeleteFile('c:\docume~1\centoc~1\locals~1\temp\0113.exe');
DeleteFile('c:\docume~1\centoc~1\locals~1\temp\48405.exe');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\042.tmp');
BC_DeleteSvc('rgupordwb');
BC_DeleteSvc('kahpcx');
DeleteFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe,C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe,explorer.exe,C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe,Explorer.exe');
DeleteFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe');
DeleteFile('C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe');
DeleteFileMask('C:\RECYCLER', '*.*', true);
DeleteFileMask('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
AddToLog(inttostr(BC_ServiceKill('swmsifz')) );
AddToLog(inttostr(BC_ServiceKill('wkzcgaqt')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки
- Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
- сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]
- повторите логи AVZ в обычном режиме.

Midnight,

Есть вопрос.

Я уже исправил почти все сам. Восстановил работу внешних устройств и т.п. Слегка напортачил, но разрешил (слва богу - я ведь не сисадмин и не программист никакой). Собрался писать как и увидел Ваше сообщение.

Я его выполню вместе с логами пришлю. Это важно, так как уверенность что я вычистил все пока нет. Хочу по одному включать внешние носиители, чтобы вылавливать остатки вирусов там.

Собственно вопрос - если я убил их все раньше + сам скрипт не повредит системе и реестру? Очень не хотелось бы впороться, когда я так близок к началу собственной работы.

Вам БОЛЬШОЕ СПАСИБО, думаю, то, что я напишу будет интересно всем. Так как информации об этом в Инете крайне мало.

Ответе, пожалуйста, побыстрее, а то опять зависнем на пару дней...

[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]

Да и еще - делать под админом, в обычном режие, или как?

Делать из под той учетки откуда были сделаны логи. Думаю это учетка с административными привелегиями. Кстати при сканировании с LiveCD нужно было подключить все Ваши флэшки. Проверьте флэшки с помощью cureit теперь.

К сожалению я не мог, т.к. ни одно внешнее устройство не работало. И смысла их вставлять не было - их файловые структуры были недоступны. LiveCD я не пользовался, так как скачивать было некуда. Все делалось из безопасного режима или консоли восстановления.
Так же сделаю и сейчас, так как следуя рекомендациям, я выключил административные права у этого пользователя, а у пользователя обладающего такими правами ничего не установлено.

Так что ловите как есть. После первого прогона MBAM и AVZ. Правда первый серъезный прогон AVZ завис где-то в середине ночи. DrWeb буду делать сегодня в ночь, так как это займет не менее 20-ти часов. А сейчас прогоню Ваш скрипт и сделаю логи.

Midnight.

Высылаю запрошенное, извини, что так долго, но вроде нигдке ничего нет, кроие ругани AVZ на драйверы (см. вопрос 1) в предыдущем диалоге), да и системные угрозы и вопросы безопасности я не решил. Если есть быстрый ответ ответ - чиркани, plz.

А сейчас я ухожу на дип скан Dr/Web всех дисков...

С уважением и благодарностью, Александр

Чего-то не вижу одобрения по устранентию вирусов. Что-то не так? Ответьте, пожалуйста, а то, как-то не по себе...

Прогон DrWeb выявил два несущественных вируса - один удалил, др. в карантин - буду проверять, но это вроде связано с официальным сайтом Sears Automotive, не думаю, что там что-то серьезное - все равно удалю, если есь дублирующая инфа.

Стал смотреть други ефайлы в автозагрузке и пр. Обнаружил в автозапуске MS шпиона dumprep. Удаляется согласно ссылке [URL="http://www.raymond.cc/blog/archives/2008/03/04/what-is-dumprepexe-why-is-kernelfaultcheck-dumprep-0-k-in-msconfig-startup/"]http://www.raymond.cc/blog/archives/2008/03/04/what-is-dumprepexe-why-is-kernelfaultcheck-dumprep-0-k-in-msconfig-startup/[/URL], а то некоторые на этом деньги пытаются заработать. Это на английском, но все просто.

Жду Вашего консенсуса по результатам последних сканов, ну или закрытия темы.

ВСЕМ СПАСИБО [B]ОГРОМНОЕ!!![/B]
[U]БЕЗ ВАС КАК БЕЗ РУК...ВАШЕ ДЕЛО НЕОЦЕНИМО.[/U]

Кроме того что "Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)" в логе avz ничего плохого не обнаружил. Проблема решена?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]46[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.DownLoader1.37928, BitDefender: Trojan.Generic.KDV.64114, AVAST4: Win32:Trojan-gen )[*] c:\\recycler\\s-1-5-21-4894964670-2857508954-162392493-6446\\syscr.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\cfdrive32.exe - [B]Trojan.Win32.Jorik.SdBot.la[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Generic.624883, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\msvmiode.exe - [B]Email-Worm.Win32.Joleee.fkx[/B] ( DrWEB: Trojan.Siggen2.8584, BitDefender: Gen:Variant.Kazy.3567, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:FakeAV-AWS [Drp] )[*] c:\\windows\\system32\\27.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\64.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\72.exe - [B]P2P-Worm.Win32.Palevo.bigh[/B] ( DrWEB: Trojan.Inject.14041, BitDefender: Trojan.Generic.5120052, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\78.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )[*] c:\\windows\\system32\\82.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Inject.13871, BitDefender: Trojan.Generic.5861706, AVAST4: Win32:AutoRun-BRP [Trj] )[/LIST][/LIST]