Показано с 1 по 17 из 17.

Ошибки.Вирус. (заявка № 24965)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    29
    Вес репутации
    36

    Exclamation Ошибки.Вирус.

    Здравствуйте!
    Значит проблемка такая...
    Как обычно вирусня вынесла доктор Веб, + не ставится каспер (доктор веб предварительно вычистил), в середине установки каспера компьютер перегружается, программы не хотят запускаться.

    АВЗ не запускается так же (расширение переименовывал)

    Поэтому очень надеюсь на совет как начать лечение только по одному логу
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Скачайте эту сборку AVZ http://virusinfo.ifolder.ru/7043835 и попробуйте сделать логи.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Для начала загрузитесь с какого-нибудь Live CD или в консоль восстановления и удалите следующие файлы:
    C:\Program Files\Common Files\Microsoft Shared\syscts.exe
    C:\WINDOWS\system32\ntos.exe
    C:\WINDOWS\system32\ipv6monl.dll
    C:\WINDOWS\system32\158117\158117.dll
    C:\WINDOWS\nldfmtappdm.dll
    C:\WINDOWS\winlogon.exe
    C:\WINDOWS\System32\drivers\svchost.exe
    C:\WINDOWS\system32\win_66.dll
    C:\WINDOWS\system32\drivers\spools.exe
    C:\Documents and Settings\Admin\cftmon.exe
    C:\WINDOWS\system32\amvo.exe
    C:\WINDOWS\herjek.exe
    C:\WINDOWS\gnowmebk.dll
    C:\Documents and Settings\Admin\ie_updates3r.exe

    Потом запустите свою систему и пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Microsoft Shared\syscts.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
    O2 - BHO: 158117 helper - {427B1FD8-2123-4334-A7D8-7A497363914B} - C:\WINDOWS\system32\158117\158117.dll
    O2 - BHO: WRL Advisor - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll
    O2 - BHO: Windows Internet Security - {81dbab16-ca34-c433-be80-11e6692428a8} - csrcs.dll (file missing)
    O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing)
    O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Admin\cftmon.exe
    O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Admin\cftmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
    O20 - AppInit_DLLs: C:\WINDOWS\system32\win_66.dll
    O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\system32\win_66.dll
    O21 - SSODL: pxgdslro - {D766500E-2E84-4574-BF7D-6FEF13823518} - C:\WINDOWS\pxgdslro.dll (file missing)
    O21 - SSODL: gnowmebk - {78379341-E25E-4058-8026-278690396E7E} - C:\WINDOWS\gnowmebk.dll
    Перезагрузитесь и попробуйте сделать все логи.

    Добавлено через 3 минуты

    P.S. Вероятно, после удаления spools.exe перестанут запускаться exe-файлы, тогда запускайте правой кнопкой через "Запуск от имени...".
    Последний раз редактировалось Bratez; 20.06.2008 в 08:50. Причина: Добавлено
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    29
    Вес репутации
    36
    Логи АВЗ
    Последний раз редактировалось Пушистый; 21.07.2008 в 10:17.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Нда... знатный зверинец, давненько такого не видел

    Пофиксите в HijackThis то что указано в сообщении #3.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\Winrx38.sys','');
     QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q5.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q2.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllgh8jkd1q1.exe','');
     QuarantineFile('c:\windows\system32\win_66.dll','');
     QuarantineFile('c:\autoex.dll','');
     QuarantineFile('C:\WINDOWS\nldfmtappdm.dll','');
     QuarantineFile('C:\WINDOWS\system32\158117\158117.dll','');
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\syscts.exe','');
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\pxgdslro.dll','');
     QuarantineFile('C:\WINDOWS\herjek.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\soundmgr.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lqV51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Dim72.sys','');
     QuarantineFile('c:\windows\system32\mbdis.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winxd38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ocke34.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\khlkki.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Dim72.sys','');
     QuarantineFile('C:\WINDOWS\system32\win_66.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
     QuarantineFile('C:\WINDOWS\gnowmebk.dll','');
     QuarantineFile('C:\Documents and Settings\Admin\ie_updates3r.exe','');
     DeleteFile('C:\Documents and Settings\Admin\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\gnowmebk.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\win_66.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Dim72.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\khlkki.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\ocke34.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winxd38.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('c:\windows\system32\mbdis.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Dim72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxd38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\lqV51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx38.sys');
     DeleteFile('C:\Documents and Settings\Admin\cftmon.exe');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('C:\Program Files\Common Files\System\soundmgr.exe');
     DeleteFile('C:\WINDOWS\herjek.exe');
     DeleteFile('C:\WINDOWS\pxgdslro.dll');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\syscts.exe');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     DeleteFile('C:\WINDOWS\system32\158117\158117.dll');
     DeleteFile('C:\WINDOWS\nldfmtappdm.dll');
     DeleteFile('c:\autoex.dll');
     DeleteFile('c:\windows\system32\win_66.dll');
     DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q1.exe');
     DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q2.exe');
     DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q5.exe');
     DeleteFile('C:\WINDOWS\system32\dllgh8jkd1q6.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\Winrx38.sys');
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('Google Online Services');
     BC_DeleteSvc('mnmsrvcwmiapsrv');
     BC_DeleteSvc('Schedule');
     BC_DeleteSvc('windows internet security');
     BC_DeleteSvc('aic32p');
     BC_DeleteSvc('dim72');
     BC_DeleteSvc('Winxd38');
     BC_DeleteSvc('asc3550p');
     BC_DeleteSvc('bdfdll');
     BC_DeleteSvc('lqv51');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Winrx38');
     BC_DeleteSvc('ocke34');
    BC_Activate;
     DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
     DelBHO('{81dbab16-ca34-c433-be80-11e6692428a8}');
     DelBHO('{72976A08-625C-41C1-AD59-780F96CC2473}');
     DelBHO('{427B1FD8-2123-4334-A7D8-7A497363914B}');
     DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24965).

    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от Пушистый Посмотреть сообщение
    Логи АВЗ
    Значит запустилась AVZ на которую я дал ссылку?

  8. #7
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    29
    Вес репутации
    36
    прежде всего проше прощения за то что так надолго расятнул лечение,знаю что так делать низя..
    Прошу пмомчь далее

    Цитата Сообщение от Maxim Посмотреть сообщение
    Значит запустилась AVZ на которую я дал ссылку?
    Да спасибо запустилась, но только один раз



    А вообщем ситуация ненамного изменилась, каспер все так же не ставится, программы не запускаются логи новые прикрепляю карантин тоже
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Да, уж. Остатки Доктора Веба, немного Касперского и куча зловредов.

    Через IceSword удалить
    'C:\WINDOWS\system32\drivers\khlkki.sys'
    'C:\WINDOWS\system32\WinCtrl32.dll
    'C:\WINDOWS\system32\drivers\symavc32.sys'
    После этого профиксить в Хиджаке строчку с
    WinCtrl32.dll

    Далее скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     DeleteService('aic32p');
     SetServiceStart('aic32p', 4);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\khlkki.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('f:\000\kkpawlhlrz.pif','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\khlkki.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После этого всего сделать новые логи и загрузить карантин.

    'f:\000\kkpawlhlrz.pif' - что вот это такое знаете?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    29
    Вес репутации
    36
    Цитата Сообщение от PavelA Посмотреть сообщение

    'f:\000\kkpawlhlrz.pif' - что вот это такое знаете?

    Да знаю, это сборка АВЗ ссылку на которую мне дал Maxim

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Тогда эту строчку можно удалить из скрипта.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    29
    Вес репутации
    36
    Новые логи+новый карантин.
    Дела по прежнему неважнецкие
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Здоровый больно карантин получился.
    Попробуй прислать отдельно, если есть в карантине:
    'C:\WINDOWS\system32\drivers\khlkki.sys'
    'C:\WINDOWS\system32\ntoskrnl.exe'

    Добавлено через 3 минуты

    Да, не. Стало немного чище. Одного руткита убили, Вигона тоже обрезали

    Вот это можно профиксить:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

    Да, и эти за компанию:
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
    Последний раз редактировалось PavelA; 24.06.2008 в 09:47. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    29
    Вес репутации
    36
    C:\WINDOWS\system32\drivers\khlkki.sys - этот вообще найти немогу никак


    C:\WINDOWS\system32\ntoskrnl.exe - этот отправил в караннтин


    Как этого нигадяя каспера установить

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Ключик вот этот проверь в реестре:
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    Если там что-то есть,то пускай под нож.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    29
    Вес репутации
    36
    прошу прощения за непонятливость..
    все что в ветке есть (а есть там много всего) или именно этот ключ?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Хорошо, что переспросили - все что там есть не надо!
    Только те ключи, которые по имени совпадают с исполняемыми файлами антивирусов, например avp.exe.

    Добавлено через 2 минуты

    А вот я нашел свой скрипт для поиска таких ключей:
    Код:
    var s: array[13] of string; r: string; i: integer;
    begin
     s:=['avp.exe','avz.exe','ekrn.exe', 'egui.exe','ehttpsrv.exe',
    'nod32krn.exe','nod32kui.exe', 'spidernt.exe', 'hijackthis.exe',
    'bdss.exe', 'vsserv.exe', 'avgnt.exe', 'avguard.exe'];
     AddToLog('Searching for IFEO keys:');
     for i:=0 to 12 do
     begin
       r := 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\'+s[i];
       if RegKeyExists('HKLM',r) then
       begin
         AddToLog(s[i]+' - exists!');  
         if RegKeyParamExists('HKLM',r, 'Debugger') then
            AddToLog('Debugger for '+s[i]+' detected: '+RegKeyStrParamRead('HKLM', r,'Debugger'));
         RegKeyDel('HKLM', r);
       end
       else
         AddToLog(s[i]+' - none');  
      end;
    SaveLog(GetAVZDirectory + 'ifeo.log');
    end.
    Выполните его и посмотрите файл ifeo.log в папке с AVZ.
    Последний раз редактировалось Bratez; 24.06.2008 в 13:36. Причина: Добавлено
    I am not young enough to know everything...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\рабочий стол\\avz4\\avz4\\avz.com - Virus.Win32.Sality.z (DrWEB: Win32.Sector.5)
      2. c:\\documents and settings\\admin\\рабочий стол\\1\\1.bat - Virus.Win32.Sality.z (DrWEB: Win32.Sector.5)
      3. c:\\documents and settings\\124134\\рабочий стол\\avz4\\avz4\\avz.com - Virus.Win32.Sality.z (DrWEB: Win32.Sector.5)
      4. c:\\recycler\\s-1-5-21-861567501-2025429265-839522115-1003\\dc89.pif - Virus.Win32.Sality.z (DrWEB: Win32.Sector.5)
      5. c:\\windows\\system32\\dllgh8jkd1q7.exe - Trojan-Downloader.Win32.Tibs.aak (DrWEB: Trojan.Packed.512)
      6. c:\\windows\\system32\\drivers\\symavc32.sys - Rootkit.Win32.Agent.aih (DrWEB: Trojan.Sentinel)


  • Уважаемый(ая) Пушистый, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 13.05.2011, 18:42
    2. Ответов: 9
      Последнее сообщение: 09.04.2011, 05:50
    3. Вирус или ошибки системы?
      От Dmvlad в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.03.2011, 21:18
    4. Ответов: 1
      Последнее сообщение: 17.08.2008, 11:06
    5. Вирус попортил систему, ошибки ntdll.dll
      От hvoynov в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.02.2008, 15:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00025 seconds with 17 queries