Блокируется запуск AVZ

[thyrex]

atapi.sys заменил из чистого дистрибутива

И в нем по-прежнему зараза

Попробуйте запустить утилиту (http://www.secureblog.info/articles/597.html) со следующими ключами: "TDSSKiller.exe -l C:\log.txt -v -o C:\dump.dmp"
Созданные файлы log.txt и dump.dmp приложите к посту.

[Kalashnikov]

Сделано.

[Kalashnikov]

Сделано. Файл с расширением dmp не прикрепляется запаковал его в zip. atapi.sy_ брал с диска SP3 а не с зараженного компьютера.

[gjf]

У Вас сложный случай, требующий проверки нескольких моментов. Поэтому вооружитесь терпением и выполните следующие действия. Делать по пунктам. В самом начале - отключить интернет и все антивирусы/файерволы, и не включать, пока это не будет разрешено!
1. Выполните скрипт AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 QuarantineFile('%WinDir%\*.tmp', 'Возможно Kates');
 QuarantineFile('c:\windows\System32\DRIVERS\ATAPI.SYS', 'Возможно TDL3');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.

2. Скачайте вот эту утилиту. Распакуйте её в отдельную папку. Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).

Код:

start /wait remover.exe dump \\.\PhysicalDrive0 mbr.bin
remover.exe fix \\.\PhysicalDrive0

Запустите cleanup.bat. Запускать с правами администратора.
По окончании в папке появится файл mbr.bin. Скопируйте его в папку AVZ/Quarantine. Перезагрузите систему.

3. Скачайте вот эту утилиту и распакуйте в отдельную папку. Сохраните текст ниже как start.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: start.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).

Код:

start /wait TDSSKiller.exe -o C:\dump.dmp
TDSSKiller.exe -l C:\log.txt -v

Запустите start.bat. Запускать с правами администратора.

Перезагрузите систему.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Подключите ПК к интернету/локальной сети
- Заархивируйте папку AVZ/Quarantine в zip-архив с паролем 'infected' (без кавычек) и пришлите по красной ссылке вверху темы "Прислать карантин".
- Прикрепите файлы C:\dump.dmp и C:\log.txt к новому сообщению в этой ветке.

[Kalashnikov]

Все пункты выполнил. После выполнения 2 пункта и перезагрузки система обнаружила новое устройство. Не успел посмотреть что же это было. Файлы созданный TDSKiller упакованы в архив без пароля.
Файлы созданные bootkit_remover упакованы в архив Quarantine с паролем infected
По красной ссылке пришлите!

[gjf]

Хорошо, а где карантин самого AVZ? Пришлите его согласно Правил (Приложение 3).

[Kalashnikov]

Тысячу извинений. Отправил по ссылке красной 2 архива. virus с паролем virus и Quarantine с infected

После беседы с "подрастающим поколением" складывается мнение что этот вирус связан с сайтом одноклассники. Пришло письмо что есть сообщение, зашли на сайт но новое сообщение не открывалось, а по краю окна моргала надпись ****** сообщение. Что то такое.

[gjf]

Спасибо. Подождём ответ аналитиков.

[Kalashnikov]

Спасибо за терпение и участие в проблеме. Будем ждать.

Дополнительно. Впервые за все время лечения сейчас Оутпост поймал таких зверей
Имя: BZub
Тип: Trojan

Описание:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.

Ключи реестра:
HKEY_LOCAL_MACHINE\software\Microsoft\windows\curr entversion\Control Panel\load
и
Имя: BiFrost
Тип: Backdoor

Описание:
Gives someone else access to your computer by bypassing the normal authentication procedures.

Ключи реестра:
HKEY_USERS\S-1-5-21-484763869-1606980848-839522115-1003\software\Wget

[gjf]

Вы вначале логи AVPTool приводили. А вообще сканирование с помощью свежей AVPTool выполняли?

[Kalashnikov]

Да сканировал. Сегодня проверил снова, остался старый карантин и новый звереныш.
обнаружено: троянская программа Trojan-PSW.Win32.Kates.t Файл: C:\Qoobox\Quarantine\C\WINDOWS\xbshebo.old.vir
и
обнаружено: троянская программа Trojan-PSW.Win32.Kates.t Файл: C:\System Volume Information\_restore{AB6DC5CD-F8C7-46B0-9AB4-807E9D469D95}\RP1\A0000044.OLD

[gjf]

Это не новый зверёныш, это - копия в точках восстановления. Нестрашно, раз Вы отключили восстановление системы.
AVZ по-прежнему не запускается? Если нет, попробуйте полиморфный AVZ md5: 2091925798b7909e010e3f7e328c5f0d

[Kalashnikov]

AVZ запускается нормально, причем не переименнованный. GMER не запускается. Вчера после выполнения всего указанного в сообщении 24 он не запускался но выходили что не открывается какой то файл, то сегодня как и прежде начинает работать и затем вываливается в ошибку.

[gjf]

Делайте полный комплект логов AVZ по правилам.

[Kalashnikov]

Выполнил. Что заметил. Отключал через AVZ автозапуск со всех носителей. При нынешней проверке снова показывает что автозапуск разрешен.

[gjf]

Давайте вот как попробуем.

1. Пофиксите в HiJackThis:

Код:

 O2 - BHO: Pick-a-Proxy Toolbar - {A6790AA5-1213-4567-A46D-0FDAC4EA90EB} - (no file)
 O9 - Extra button: (no name) - DctMapping - (no file)

2. Выполните скрипт AVZ:

Код:

procedure ScanKates(Name: String);
var Str: String;
    Info: String;
begin
 if RegKeyParamExists('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name)
  then
   begin
    Str:= RegKeyStrParamRead('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32', Name);
    Info:= 'Найден параметр ' + Name + ', связанный с ' + Str; 
    AddToLog(Info);
	if Pos(' ', Str)<>0 then Str:= Copy(Str, 1, Pos(' ', Str)-1);
    QuarantineFile(Str,'Kates');
    DeleteFile(Str);
    RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name);
   end;
end;

procedure KillKates;
var i: integer;
begin
 ScanKates('aux');
 for i := 0 to 99 do ScanKates('aux'+IntToStr(i));
 ScanKates('midi');
 for i := 0 to 99 do ScanKates('midi'+IntToStr(i));
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 KillKates;
 StopService('RegMonitorEx');
 StopService('mnmdd2k');
 QuarantineFile('C:\WINDOWS\System32\Drivers\mondrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mnmdd2k.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\mnmdd2k.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\mondrv.sys');
 SaveLog(GetAVZDirectory+''kates.log');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('RegMonitorEx');
 BC_DeleteSvc('mnmdd2k');
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится. Сразу, не давая системе загрузится самой, используйте LiveCD. Его можно скачать тут: LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Рекомендуется сделать это и записать LiveCD заранее на заведомо незаражённой машине.

3. После загрузки с LiveCD скопируйте куда-нибудь следующие файлы с заражённой системы:

Код:

 C:\WINDOWS\system32\DRIVERS\parport.sys
 C:\WINDOWS\system32\drivers\ATAPI.SYS

После этого перезапишите эти файлы незаражёнными версиями с LiveCD.

4. Загрузите систему как обычно. Повторите логи. Попробуйте сделать лог Gmer.

5. Пришлите карантин и скопированные файлы согласно Правил (Приложение 3).

6. Прикрепите новые логи, а также файл kates.log из папки AVZ к новому сообщению в этой ветке.

[Kalashnikov]

Все выполнено.
Карантин отправил.
GMER не работает.

[snifer67]

Выполните скрипт в avz

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\p7q6xivg.exe','');
DeleteFile('C:\p7q6xivg.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог ComboFix

[Kalashnikov]

Комбо Фикс полностью не прошел, хотя как сказать Сперва выпала ошибка при исполнении PEV.cfxxe. Затем я успел заметить что утилита удалила файл начинающийся на р, затем перезагрузка и синий экран. Ошибка 0х0000007B (0xF78A2524... Сравнил drivers с незараженным компьютером, добавил pciide.sys и удалил pfc.sys pccsmcfd.sys Это я наверно виртуальный привод прихлопнул
Все загрузилось и заработал GMER. так что выкладываю логи AVZ до последнего "лечения" а GMER после. ComboFix повторить?
Карантин выслал.

[Kalashnikov]

Лог КомбоФикс