Помогите, создается несуществующий PCI Device!

[akok]

Виновен интернет..
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
 QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\ieupdater[1].exe','');
 QuarantineFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\8LEVWPQV\ieupdater[1].exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\a03bogrq.SYS','');
 QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
 QuarantineFile('c:\windows\system32\drivers\spool.exe','');
 QuarantineFile('c:\documents and settings\kirill\local settings\application data\cftmon.exe','');
 DeleteFile('c:\documents and settings\kirill\local settings\application data\cftmon.exe');
 DeleteFile('c:\windows\system32\drivers\spool.exe');
 DeleteFile('C:\WINDOWS\system32\msftp.dll');
 DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\8LEVWPQV\ieupdater[1].exe');
 DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\ieupdater[1].exe');
 DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 DeleteFile('C:\WINDOWS\system32\_svchost.exe');
 DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0009788.exe');
 DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0010916.exe');
 DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\A0010919.exe');
 DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdater[10.exe');
 DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdater[1].exe');
 DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ieupdr2.exe');
 DeleteFile('C:\Documents and Settings\Administrator\DoctorWeb\Quarantine\ie_updates3r.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17685

Добавлено через 4 минуты

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

	
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe

Повторите логи

Добавлено через 54 минуты

Господин psw предложил интересную мысль использовать devcon от Микрософта http://support.microsoft.com/kb/311272 для определения устройства

[Kirik]

spool.exe (2 штуки) удаляются из процессов. cftmon.exe (и он запускает второй cftmon.exe) после удаления возникают снова.
В procexp можно посмотреть threads от cftmon.exe. Как я понимаю, он "тесно общается" с kernel32.dll и msftp.dll и, тем самым, постоянно "потребляет" процессорное время от ~5 до 8%. А вся эта "система" после перезагрузки и захода в интернет с кем-то "общается"...

[V_Bond]

вы скрипт выполнили ... ?
где новые логи ?

[Kirik]

сейчас выполнять буду... я не успел прочесть, только потом увидел.

[Kirik]

Господин psw предложил интересную мысль использовать devcon от Микрософта http://support.microsoft.com/kb/311272 для определения устройства

Скрипт выполнил, карантин прислал, прикладываю логи. В HiJackThis не было тех 4 строчек, которые надо было фиксить.
Devcon скачал, подскажите, пожалуйста, как составить командную строку для моего случая.

[V_Bond]

в логах не видно ничего зловредного ...
какие проблемы остались ?

[akok]

Получается команда вида

devcon hwids PCI\VEN_10DE выдаст список устройств от nVidia (ven_10de)

[Kirik]

в логах не видно ничего зловредного ...
какие проблемы остались ?

По-видимому, только с этим "девайсом". Но все же странно, как так один и тот же "троян" появляется через некоторое время снова? Никаких файлов подозрительных не запускали...
Попробовать поменять пароль администратора?

Добавлено через 1 минуту

Получается команда вида

подскажите, как сделать, чтобы окно оставалось после выполнения команд?

[akok]

Пуск - выполнить - cmd

Добавлено через 1 минуту

. Но все же странно, как так один и тот же "троян" появляется через некоторое время снова? Никаких файлов подозрительных не запускали...

Отключите на браузере JS, а еще лучше юзайте под ограниченным пользователем

[Kirik]

Пуск - выполнить - cmd

Добавлено через 1 минуту



Отключите на браузере JS, а еще лучше юзайте под ограниченным пользователем

код экземпляра устройства очень длинный... на команду
C:\Program Files\devcon\i386>devcon.exe -hwids pci\ven_10de&dev_044a&subsys_10ec0888&rev_a1
я получил список ID NVidia и в конце:
15 matching device(s) found. "dev_044a" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. "subsys_10ec0888" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. "rev_a1" не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
JavaScript отключил (просто Java и JRE к этому совету, как я понимаю, не относятся?), а вот как использовать браузер под ограниченным пользователем, не понимаю.. ? это где-то присваивается?

[pig]

Если это действительно nVidia, то можно попробовать переставить драйвер.

[akok]

Нет вы просто создаете учетную запись с ограниченными правами и все

[Kirik]

Нет вы просто создаете учетную запись с ограниченными правами и все

Спасибо за помощь! Не думаю, что учетная запись такого рода поможет А все-таки, отключенный JS что-нибудь дает? На некоторых сайтах пишут "у вас отключен яваскрипт, сайт не будет корректно работать" - что-нибудь в этом духе... Это с сайта знакомств.

Добавлено через 31 минуту

переустановил драйвера NVidia. Попробовал установку драйверов для этого девайса автоматом - не нашлись, оставил галку, чтоб не напоминали больше. Но устройство никуда не делось... Заметил я нечто забавное... Сегодня в папке Windows/system32/ появился странный новый файл FNTCACHE.DAT Это было до переустановки драйверов. После удаления он все равно обновлялся... Никаких schedule и проверок у меня никакими программами не назначено - откуда это (весом примерно 1,5 Мб), непонятно.

Добавлено через 1 час 13 минут

http://eitnetwork.utoledo.edu/und_do...c/newvirus.htm вот что дал поиск в гугле ... интересно, это может быть как-то связано с восстановлением трояна?

[akok]

Файл согласно правил пришлите

[Kirik]

прислал.

[Kirik]

Опять появились msftp.dll, а потом появился spool.exe
На нашем компьютере два пользователя, я спрашивал маму - она ни на какие баннеры не кликала, ничего подозрительного не запускала... Короче, она соображает. Но в первую очередь msftp.dll обнаружился в папке ее документов - может ли троян где-то тихо сидеть у другого пользователя? Какой у этого механизм, мне непонятно.
Прикладываю логи, согласно правилам.

[Kirik]

были ли в прошлый раз при исследовании замечены файлы settings.sfm и settingsbkup.sfm ? А еще, в первый раз, обратил свое внимание на появление непонятных файлов типа :
BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx , BMXCtrlState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

BMXState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

BMXStateBkp-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

DVCState-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

DVCStateBkp-{00000001-00000000-00000009-00001102-00000004-10071102}.rfx

поиск в Гугле дал мне интересную ссылку
http://www.thetechguide.com/forum/lo...hp/t25271.html

P.S. Восстановление системы я пока не включал.

[wise-wistful]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
 QuarantineFile('C:\Documents and Settings\Mama\Local Settings\Application Data\cftmon.exe','');
 DeleteFile('C:\Documents and Settings\Mama\Local Settings\Application Data\cftmon.exe');
 DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
 DeleteFile('C:\WINDOWS\system32\msftp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17865

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe

[Kirik]

...

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Kirill\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe

Скрипт выполнил, карантин прислал (по правилам). В HijackThis опять таких строчек не нашел

Логи сделать новые?

[wise-wistful]

Строчек не было - это хорошо. С логами немного погодите посмотрим, что в карантине.