Ходячий носитель вирусняков>:(

[M@xWell]

Добрый день всем.
Почитал тему "Осторожно, експлоит.." про внедренный файл atixdaxx.dll, теперь волнуююсь... Дело в том что одна сотрудница опять (в последнее время только она и ловит) поймала вирусняк (при чем с определенного сайта - по-этому первый вопрос: к кому обратиться, чтоб поверить не взломан ли он?). Как в моей предыдущей теме Не загружается комп! ASAP!!. на корне С: появились странные файлы *.tmp. На этот раз я не спешил их удалять (предварительно кинул АВЗтом в карантин - если надо пришлю). Обраружил winlogon.exe в левой папке. Также АВЗ заподозрил перехватчик клавиатуры в удаленном Авасте. Еще меня беспокоит то, что в отчете АВЗ слишком много модулей видяхи ATI опознаны как небезопасные...

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\sort.dll','');
 QuarantineFile('C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\NDIS.sys','');
 QuarantineFile('C:\fwdrv.sys','');
 BC_ImportQuarantineList;
 BC_QrSvc('runtime');
 BC_DeleteSvc('runtime');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин по правилам.

[Bratez]

И следом еще такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\rpcc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Остальное после анализа карантина.

[M@xWell]

карантин закачал весь (с файлами, помещенными туда во время проверки). winlogon вроде удалял ранее, но в автозагрузке он висит. как убрать из msconfig'a?

[Bratez]

Вопреки ожиданиям, ndis.sys вроде бы чистый, отправил в ЛК на всякий случай. Остальные уже удалены. Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\sort.dll (file missing)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

перезагрузитесь и сделайте новые логи.

[M@xWell]

Пофиксил первую строку, остальных двух не было уже. Возникли некоторые проблемы - Каспер начал ругаться на
Windows\Еxplorer.EХE - потенциально опасное ПО mass-mailer
и некий systems32\LFZ.dll -троян, удален.
Винда начала плохо грузиться... Как восстановить Explorer?

[Bratez]

Без логов ничего не могу сказать. Может, успели новенького подцепить?

[M@xWell]

ок.. жду пока загрузится в Safemode, попытаюсь сделать логи. PS. Постоянно забываю написать. в корне С: постоянно появляются файлы cd????.NLS. Где ???? - 4х-значное число

[Bratez]

в корне С: постоянно появляются файлы cd????.NLS. Где ???? - 4х-значное число

А вот это уже признак того самого спам-бота, который ndis.sys, однако про него пришел ответ из ЛК, что якобы все чисто! Давайте все-таки его заменим на заведомо правильный. И еще C:\fwdrv.sys мы упустили, в карантин он не попал. Попробуйте его найти вручную, он должен найтись.

Далее, скачайте патч: Вложение 10580, в безопасном режиме запустите его и нажмите кнопку Patch. После этого выполните скрипт:

Код:

begin
DeleteFile('C:\cd*.nls');
DeleteFile('C:\fwdrv.sys');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

Полагаю, это должно решить проблему.

[M@xWell]

Сейчас буду делать скрипт и восстанавливать ndis. Сделал логи, но не уврен что полностью - АВЗ зависает. Может переименовать АВЗ? Но не могу скопировать логи на флешку...

[PavelA]

Что-то мы забыли про этот файлик?
Выполните скрипт в Safe Mode:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('\??\C:\WINDOWS\system32\windev-5c23-5450.sys','');
RebootWindows(true);
end.

Если в карантин попадет этот файлик, то прислать его.

[Bratez]

@PavelA - В первом логе AVZ:

C:\WINDOWS\system32\windev-5c23-5450.sys >>>>> Packed.Win32.Tibs.ab успешно удален

[M@xWell]

Файлы *.nls не удаляются ((

[Bratez]

Вы сделали патч и скрипт из сообщения #9 ?
Давайте теперь логи, будем смотреть, что осталось.

[PavelA]

@Bratez Прозевал.. понедельник, однако.

[M@xWell]

да, пропачил, но файлы не удалились.. ( зато удалились вручную...) не могу скопировать логи.. вообще никакие файлы не могу ни скопировать, ни вставить. Можно ли это както устранить?

[Bratez]

вообще никакие файлы не могу ни скопировать, ни вставить. Можно ли это както устранить?

1. Попробуйте в AVZ Восстановление системы #6 и #8.
2. Как насчет команды контекстного меню "Отправить" ("Send to")?

[M@xWell]

1. ни к каким изменениям не привело(( 2. пробовал.. через проводник пробовал.. не знаю как еще не пробовал..

[M@xWell]

не могу ан-исталить каспера.. ошибка windows installer..
привожу еще симптомы: на панели задач не отображаются открытые окна, не работает сеть, не копируются, не перемещаются файлы...
кстати, на сайте все еще запускается троян при входе. Как ссылку вам кинуть, чтоб проверить сайт? Может отсюда получится решить проблему?

[PavelA]

Как вариант: в Safe Mode создать пользователя "Test" с привилегиями Администратора.
Загрузиться и посмотреть на поведение компьютера.

Есть мысль, что глюки останутся в профиле существующего поль-ля.

Торопится выполнять не спеши, м.б. кто-нибудь чего-нибудь еще предложит.

Вариант 2: скопировать логи на дискетку !!! Это можно сделать и из Safe Mode.

Адрес сайта напиши мне в ЛС. Передадим аналитикам.