Вирусы от А до Я! Полный набор!

[PavelA]

Угу, про него www.icbc.com.cn.
Профиксить:

Код:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - 
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O16 - DPF: {1E0DFFCF-27FF-4574-849B-55007349FEDA} (iTrusPTA Class) - 
O20 - Winlogon Notify: ati2kaag - ati2kaag.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

http://scan.www.duba.net/ - что вот это такое знаете?
Выше вопроса скрипт есть, его выполняйте.

[Top_ro]

А как исправить такой глюк, есть ли какие-то способы проверить куда делось все пространство?

Еще новый глюк. Пропало свободное место на диске С, было около 5 Гб, установил Касперского 6.0 (причем на диск Д), сначала вроде было все нормально, а тут вдруг выдает сообщение что на диске нет места (100 Мб). Перегрузился несколько раз не помогает.

Добавлено через 7 минут

http://scan.www.duba.net/ - что вот это такое знаете?

Это китайский антивирус, точнее его он-лайн сканер.

Добавлено через 40 секунд

Карантин загрузил.

[V_Bond]

Еще новый глюк. Пропало свободное место на диске С, было около 5 Гб, установил Касперского 6.0 (причем на диск Д), сначала вроде было все нормально, а тут вдруг выдает сообщение что на диске нет места (100 Мб). Перегрузился несколько раз не помогает.

на заметили ... уменьшение дискового пространства происходит при подключенном интернете ? посмотрите не появились ли скрытые папки на диске ?

[Top_ro]

Профиксил!

Профиксить:

Код:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - 
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O16 - DPF: {1E0DFFCF-27FF-4574-849B-55007349FEDA} (iTrusPTA Class) - 
O20 - Winlogon Notify: ati2kaag - ati2kaag.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

[PavelA]

Какой-то карантин не тот получился. Скрипт последний выполнял?

[Top_ro]

Пространство пропало одним махом и даже в безопасном режиме около 300-500 Мб. Папок скрытых много, но какие нужные, а какие нет не могу быть уверен на 100%. Я штатными средствами пытался освободить место, но особого рез-та не дало. Появилось еще около 100 Мб. До того как система в этот раз плотно заразилась, были небольшие сбои и пришлось пару раз восстанавливаться с backup-а, после этого появились дублированные файлы с тем же именем(1), имя(2), имя(3).
Может в этом причина?

Добавлено через 3 минуты

карантин AVZ? Или я что-то напутал?

[PavelA]

C:\WINDOWS\system32\SSMSFltr.dll - чистый
Вот это надо было сделать:
Выполнить скрипт в safe Mode:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\utixntgw.sys' ,'');
DeleteFile('C:\WINDOWS\system32\Drivers\utixntgw.sys');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

[Top_ro]

Я выполнил предыдущий скрипт, там не было команды очистить карантин, может по этому, он не такой. Выполнил новый скрипт, сейчас проверю новый карантин.

Добавлено через 1 минуту

новый карантин пустой

Добавлено через 43 секунды

может еще раз логи сделать или еще что?

[PavelA]

Да. сделай логи. Плюс вот это http://virusinfo.info/showthread.php?t=10387

[Top_ro]

Сначала сделать как обычно, а потом плюс дополнительные АВЗ-логи в безопасном режиме?
Так?

[PavelA]

Ага. Можно даже сначала доп. лог, чтобы посмотреть может еще что удалять надо.

[Top_ro]

Сделал Дополнительные АВЗ-логи в безопасном режиме!

[V_Bond]

Папок скрытых много, но какие нужные, а какие нет не могу быть уверен на 100%.
[

можно узнать какие ? и что в них ?

[PavelA]

вот такая вот пачка нашлась. Выполнять в Safe Mode:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('system32\DRIVERS\tcpip.sys','');
 QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
 QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
 QuarantineFile('system32\DRIVERS\Ip6Fw.sys','');
 QuarantineFile('\??\C:\WINDOWS\system32\Drivers\98081.sys','');
 QuarantineFile('\??\C:\WINDOWS\system32\Drivers\103989.sys','');
 BC_DeleteFile('\??\C:\WINDOWS\system32\Drivers\103989.sys');
 BC_DeleteFile('\??\C:\WINDOWS\system32\Drivers\98081.sys');
 BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
 BC_DeleteFile('System32\DRIVERS\smtpdrv.sys');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('smtpdrv');
 BC_DeleteSvc('Ip6Fw');
 BC_DeleteFile('system32\DRIVERS\Ip6Fw.sys');
 BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

[Top_ro]

Все сделал!
Что то еще надо сделать?

[V_Bond]

повторите логи по правилам ...

[PavelA]

Конечно. Карантин загружать. Желательно с файлами из последнего скрипта.

Плюс заново доп. лог в Safe Mode.

[Top_ro]

можно узнать какие ? и что в них ?

В том-то и дело, что папки вроде как папки, в винде много, в програмс тоже есть пара, но вроде бы все выглядят как и должно быть. На сколько я могу судить. Многие пустые, или содержат 2-3 файла. Некоторые забиты по-полнее. Но вес совсем не большой 50-100 Мб. Я даже пытался сосчитать на сколько забит диск, насчитал только около 30% от емкости диска. Куда делось остальное не могу понять.

[PavelA]

Усыплять машину с запущенными программами не пробовали.
В корне диска "С" м.б. файл cibernate.sys. Где-то примерно так.
Он обычно под 400М бывает.

[Top_ro]

Карантин загрузил с файлами из последнего скрипта.

Добавлено через 2 минуты

Еще вопрос:
можно удалить, то что находится в старом карантине и инфектед?

Добавлено через 2 минуты

Усыплять с запущенными программами пробовал пару раз, но такого файла нет. Может где-то в другом месте?

Усыплять машину с запущенными программами не пробовали.
В корне диска "С" м.б. файл cibernate.sys. Где-то примерно так.
Он обычно под 400М бывает.