Не работают ни системные программы, ни приложения.

[trismegist888]

Ситуация ухудшилась. Я заблокировал административные права и она стала хуже.

[trismegist888]

Дамы и Господа, единственное, что всем, что ниже надо пользоваться очень аккуратно - не навредить бы. Я сумел решить, то, что отмечено, указанными способами. Использовал программы AVZ, GMAR, CC, ну и CureIt.

БЕСПОКОЙСТВО (все рекомендации я делал в безопасном режиме после чистки компа в безопасном режиме DrWeb (ом) по полной с удалением всего и без сетевых подключений + без внешних устройств (хотя последнее, наверное, не важно)) :
1) почему ошибки обмена с драйверами? - ответ типа -сбой AVZ из-за конфликтов (т.е. отаета нет)
2) Что за маскирующий процесс USB устройств (в процессе удаления cfdrive32 через консоль восстановления, я увидел равный ему по РАЗМЕРУ файл , который назывался brunin03.dll. Этот dll от принтера Brother, но у меня были основания подозревать его в подмене. Я снес Brother и загрузил обновление (еще не восстановил). Я вынес этот файл на Рабстол, переименовал и сообщение о маскировке драйвера пропало. Поскольку я еще ковырялся в службах, то точно сказать не могу от этого или нет, но очень похоже на то. Файл у других может быть любым другим, но скорее всего cfdrive32 клонирует себя под файлы системы. + verifier(ом) через командную строку вернуть исходный параметры драйверу, который стоит в конце строки (в моем случае это был USBPORT.SYS)
3) Как это все исправить? (овета нет только по 2-му вопросу)
4) Как убрать подозрения на маскировку ключей драйверов? (есть рекомендации (в т.ч. и от Олега Зайцева), которые я сделал и эта проблема ушла http://kadets.info/showthread.php?t=64594. Осталось только вручную из консоли восстановления убить инициирующий dll.)
5) Как убрать все потенциальные уязвимости? (Рекомендации по службам есть в http://www.hardforum.ru/t21131/, рекомендаций по устранению проблем безопасности, кроме прямой работы с политиками, не нашел)
6) Почему отсутствует адрес
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\USB, на который ссылаетс MS поддержка для решения пробем с контроллерами USB (у меня она есть). - ответа нет - да собственно он и не нужен. Контроллер USB устройства, FDD и CD/ROM не работали потому, что... в момент проверки компа Касперским я вынул из USB внешний диск. При это касперский подменяет ссылку в реестре HKEY_LOCAL_MACHINE в разделе Class устройств, вставляя ключ UpperLimit = kltltdev.sys, который не имеет к этому отношения. Другой драйвер (уже системный) встал на параметр LowerLimit. Это сбой проги Касперского, который описан только в США (на английском) и они похоже ничего так и не обезопасили. НАДО - В реестре, в классах устройств удалить последовательно все метки с драйвером вставшим некорректно. ТОЛЬКО АККУРАТНО, СВЕРЯЙТЕ КАЖДЫЙ ШАГ СО СПРАВКОЙ ИЗ ИНТЕРНЕРТА, А ТО СНЕСЕТЕ НЕ ТО И ВОССТАНАВЛИВАЙ РЕЕСТР (ЕСТЬ UpperLimit. КОТОРЫЕ СНОСИТЬ НЕЛЬЗЯ - они должны быть.. Ссылка на профессиональные рекомендации (черт, потерял ссылку, в поисковике на "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Class\{36FC9E60-C465-11CF-8056-444553540000}" - там надо разбираться).

СПАСИБО ЗА ТО. ЧТО НЕ БРОСИЛИ и ЗА ВРЕМЯ, КОТОРОЕ БЫЛИ СО МНОЙ (Я всегда знал,что Вы тут). Собственно, см. следующее сообщение от МИДНАЙТ.

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\docume~1\centoc~1\locals~1\temp\48405.exe');
 TerminateProcessByName('c:\docume~1\centoc~1\locals~1\temp\0113.exe');
 QuarantineFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe,C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe,explorer.exe,C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe,Explorer.exe','');
 DeleteService('rgupordwb');
 QuarantineFile('C:\WINDOWS\system32\042.tmp','');
 DeleteService('kahpcx');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('c:\docume~1\centoc~1\locals~1\temp\48405.exe','');
 QuarantineFile('c:\docume~1\centoc~1\locals~1\temp\0113.exe','');
 DeleteFile('c:\docume~1\centoc~1\locals~1\temp\0113.exe');
 DeleteFile('c:\docume~1\centoc~1\locals~1\temp\48405.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\042.tmp');
 BC_DeleteSvc('rgupordwb');
 BC_DeleteSvc('kahpcx');
 DeleteFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe,C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe,explorer.exe,C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe,Explorer.exe');
 DeleteFile('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\645.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1743651231-1980221262-205905753-7438\syscr.exe');
 DeleteFile('C:\Documents and Settings\CentoCapital\Application Data\ltzqai.exe');
DeleteFileMask('C:\RECYCLER', '*.*', true);
DeleteFileMask('C:\DOCUME~1\CENTOC~1\LOCALS~1\Temp\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
 AddToLog(inttostr(BC_ServiceKill('swmsifz')) );
 AddToLog(inttostr(BC_ServiceKill('wkzcgaqt')) );
 SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки
- Сделайте лог MBAM
- сделайте лог Gmer
- повторите логи AVZ в обычном режиме.

[trismegist888]

Midnight,

Есть вопрос.

Я уже исправил почти все сам. Восстановил работу внешних устройств и т.п. Слегка напортачил, но разрешил (слва богу - я ведь не сисадмин и не программист никакой). Собрался писать как и увидел Ваше сообщение.

Я его выполню вместе с логами пришлю. Это важно, так как уверенность что я вычистил все пока нет. Хочу по одному включать внешние носиители, чтобы вылавливать остатки вирусов там.

Собственно вопрос - если я убил их все раньше + сам скрипт не повредит системе и реестру? Очень не хотелось бы впороться, когда я так близок к началу собственной работы.

Вам БОЛЬШОЕ СПАСИБО, думаю, то, что я напишу будет интересно всем. Так как информации об этом в Инете крайне мало.

Ответе, пожалуйста, побыстрее, а то опять зависнем на пару дней...

Добавлено через 55 секунд

Да и еще - делать под админом, в обычном режие, или как?

[миднайт]

Делать из под той учетки откуда были сделаны логи. Думаю это учетка с административными привелегиями. Кстати при сканировании с LiveCD нужно было подключить все Ваши флэшки. Проверьте флэшки с помощью cureit теперь.

[trismegist888]

К сожалению я не мог, т.к. ни одно внешнее устройство не работало. И смысла их вставлять не было - их файловые структуры были недоступны. LiveCD я не пользовался, так как скачивать было некуда. Все делалось из безопасного режима или консоли восстановления.
Так же сделаю и сейчас, так как следуя рекомендациям, я выключил административные права у этого пользователя, а у пользователя обладающего такими правами ничего не установлено.

Так что ловите как есть. После первого прогона MBAM и AVZ. Правда первый серъезный прогон AVZ завис где-то в середине ночи. DrWeb буду делать сегодня в ночь, так как это займет не менее 20-ти часов. А сейчас прогоню Ваш скрипт и сделаю логи.

[trismegist888]

Midnight.

Высылаю запрошенное, извини, что так долго, но вроде нигдке ничего нет, кроие ругани AVZ на драйверы (см. вопрос 1) в предыдущем диалоге), да и системные угрозы и вопросы безопасности я не решил. Если есть быстрый ответ ответ - чиркани, plz.

А сейчас я ухожу на дип скан Dr/Web всех дисков...

С уважением и благодарностью, Александр

[trismegist888]

Чего-то не вижу одобрения по устранентию вирусов. Что-то не так? Ответьте, пожалуйста, а то, как-то не по себе...

Прогон DrWeb выявил два несущественных вируса - один удалил, др. в карантин - буду проверять, но это вроде связано с официальным сайтом Sears Automotive, не думаю, что там что-то серьезное - все равно удалю, если есь дублирующая инфа.

Стал смотреть други ефайлы в автозагрузке и пр. Обнаружил в автозапуске MS шпиона dumprep. Удаляется согласно ссылке http://www.raymond.cc/blog/archives/...onfig-startup/, а то некоторые на этом деньги пытаются заработать. Это на английском, но все просто.

Жду Вашего консенсуса по результатам последних сканов, ну или закрытия темы.

ВСЕМ СПАСИБО ОГРОМНОЕ!!!
БЕЗ ВАС КАК БЕЗ РУК...ВАШЕ ДЕЛО НЕОЦЕНИМО.

[миднайт]

Кроме того что "Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)" в логе avz ничего плохого не обнаружил. Проблема решена?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 46
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.DownLoader1.37928, BitDefender: Trojan.Generic.KDV.64114, AVAST4: Win32:Trojan-gen )
  2. c:\\recycler\\s-1-5-21-4894964670-2857508954-162392493-6446\\syscr.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )
  3. c:\\windows\\cfdrive32.exe - Trojan.Win32.Jorik.SdBot.la ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Generic.624883, NOD32: IRC/SdBot trojan, AVAST4: Win32:Malware-gen )
  4. c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fkx ( DrWEB: Trojan.Siggen2.8584, BitDefender: Gen:Variant.Kazy.3567, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:FakeAV-AWS [Drp] )
  5. c:\\windows\\system32\\27.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )
  6. c:\\windows\\system32\\64.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )
  7. c:\\windows\\system32\\72.exe - P2P-Worm.Win32.Palevo.bigh ( DrWEB: Trojan.Inject.14041, BitDefender: Trojan.Generic.5120052, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )
  8. c:\\windows\\system32\\78.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13808, BitDefender: Trojan.Generic.6078237, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:AutoRun-BRP [Trj] )
  9. c:\\windows\\system32\\82.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13871, BitDefender: Trojan.Generic.5861706, AVAST4: Win32:AutoRun-BRP [Trj] )