В общем, все те же яiца, только в профиль...
В нормальном ражиме - AVZ и вся система отправляется в аут при проверке kernel mode выполнения скрипта "лечения/карантина". В защищенном режиме - детектит все тот же зараженный ksys.sys в папке system32, а в конце при выполнении проверки системы (кажется пункт 7 скрипта) также сваливается в аут. Лог syscure не записывается. В общем полный беспредел.
2 RiC
Лог Rootkit Unhooker (если это он) под скрепкой
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Cкачайте The Avenger
2. Распакуйте программу к примеру в каталог C:\Avn
3. Запустите Avenger.exe и выберите "Input script manually"
4. Нажмите на иконку с увеличительным стеклом.
5. Введите в открывшееся окно текст из рамки ниже, (для этого пометьте текст в рамке выберите "копировать" и "вставить" его в окно программы) -
6. Нажмите на иконку со светофором.Код:Files to delete: C:\WINDOWS\system32\ksys.sys C:\WINDOWS\system32\drivers\runtime2.sys C:\Program Files\Internet Explorer\IEXPLORE.EXE
7. Перезагрузитесь.
8. После перезагрузки в блокноте откроется файл с протоколом выполнения, сохраните его.
9. Добавьте сохраненный файл в следующее сообщение.
Эта процедура убьёт Internet Explorer, если у вас нет другого альтернативного браузера, перед выполнениям скачайте и установите например Opera или FireFox.
Так радикально? Если другого способа нет, то случайно не подскажете в личку, где качнуть Oper'у, чтобы free?
Закачал. Займусь этим завтра.
Вопрос: скрипт в Авенгер выполнять при отключенном восстановлении системы?
Да, востановление системы не включать пока всё не почистим...
PS. Перед выполнением скрипта в The Avenger зделайте резервную копию файла C:\Program Files\Internet Explorer\IEXPLORE.EXE
Спасибо! Завтра на свежую головубуду пробовать.
Если и это не спасет - качать КАВ 7.0 пробовать сначала его анти-руткитом грохнуть (вряд ли спасет) и затем уже его средствами создавать Rescue CD и грохать из "DOSa"
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Странно, но скрипт в Авенгер IE не убил. Общаюсь с Вами через сей браузер. ksys.sys остается на своем месте. AVZ при сканировании kernel приводит к системной ошибке. В общем, опять все те же.
Попробую, конечно, Авенгер запустить еще раз...
Маленькая победа.
Сделал так. Установил и запустил в обычном режиме утилиту HaxFix. В ее логе тем не менее ничего подозрительного не оказалось. Затем запустил DrWeb - CureIT с заданием проверить директорию C:\Windiows\system32 было обнаружено 4 подозрительных файла. Среди них некто qhdik.exe pptp32.dll (оба BackDoor.Haxdoor.203, хотя мне казалось, что второй - библиотека от DSL модема), а также все те же ksys.sys и в папке c:\windows\system32\drivers ip6fw.sys (Rootkit.Win32.Agent.dp). Дал команду на их удаление.
Затем перегрузился в Safe mode, запустил последний из рекомендованных скрипт в Avenger.
Затем опять перегрузился в нормальный режим. И, О чудо!, в AVZ удалось выполнить требуемые скрипты без всякой ругани со стороны fastfat.sys.
Что интересно, что IE тем не менее открылся после всех манипуляций, правда не разрешает мне прикрепить логи. Сейчас попробую поставить Оперу и прикрепить логи посредством ее. Очевидно, для этого потребуется временно включить "восстановление системы", или не включать?
Поставил Оперу. Логи прилагаю (в том числе лог сканирования директории Windows). Drweb - CureIT при сканировании вирусов не находит пока что...
Последний раз редактировалось Gray; 03.06.2007 в 15:01.
Выполните такой скрипт:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('lhkmoopm.sys',''); QuarantineFile('C:\WINDOWS\System32\Launcher.exe',''); QuarantineFile('C:\WINDOWS\System32\launcher.dll',''); QuarantineFile('C:\WINDOWS\gtwatch.exe',''); QuarantineFile('C:\WINDOWS\system32\svchоst.exe',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\svchоst.exe'); BC_DeleteSvc('ip6fw'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
При выполнении скрипта комп завис перед перезагрузкой. Пришлось резетиться. Карантин выслал:
Файл сохранён как 070603_140703_virus_466292c79b998.zip
Размер файла 353775
MD5 e9430be9e2cabad6e6d574bb071ef8e6
В карантине ничего вредоносного.
Поищите вручную через AVZ файл lhkmoopm.sys, если найдется - пришлите (см. приложение 2 правил).
Сделайте новые логи - посмотрим на результаты удаления.
I am not young enough to know everything...
lhkmoopm.sys не нашел
Логи прилагаю.
Смущает вот это в логе HJ:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.megafonnw.ru/site/rus
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 58.65.239.154 login.osmp.ru
O1 - Hosts: 58.65.239.154 greenmoneyhyip.com
O1 - Hosts: 58.65.239.154 www.greenmoneyhyip.com
Последние два хоста я вообще не знаю, а софт у меня теперь Опера, а не IE
Хосты можно почистить в AVZ: Файл - Восстановление системы - п.13.
Строчки с кодом R0 можете пофиксить, хотя это ни на что не повлияет.
Карантин avenger'a удалите.
А так в логах чистота. Надеюсь, проблем больше нет?
I am not young enough to know everything...
Еще раз просканировал все AVZ
Из его замечаний пожалуй только одно вызывает у меня вопрос:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082680)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559680
KiST = 804E26A8 (284)
Функция NtConnectPort (1F) перехвачена (8058A800->8193F0A, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 1, восстановлено: 1
Является ли это признаком какой-либо еще не решенной проблемы?
Не думаю. Скорее всего, проделки дядюшки Нортона.Является ли это признаком какой-либо еще не решенной проблемы?
I am not young enough to know everything...
ВСЕМ ОТКЛИКНУВШИМСЯ ОГРОМНОЕ СПАСИБО ЗА ПОМОЩЬ В РЕШЕНИИ ПРОБЛЕМЫ!!!
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Уважаемый(ая) Gray, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
