Junior Member
Вес репутации
57
Последствия избавления от AntivirusXP2008
Добрый день.
Четыре дня мучился с зловредом. Компьютер сразу же после загрузки перегружался с сообщением "ошибка NT AUTHORITY\SYSTEM\services.exe" либо же вешал всю систему при попытке обхитрить сее сообщение. Ни AVZ, ни Касперский упорно не хотели собирать логи, останавливались на полпути и зависали. В безопасном режиме комп не включался. Решить проблему удалось поставив систему на другой винт и загрузившись с него. Cure It! удалил три вируса и вроде все заработало. Но AVZ выдает много сообщений о перехвате функций, причем имя перехватчика все время меняется. Остается неизменными только первые две буквы и расширение, а вместо вопросиков все время разные буквы sp??.sys.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
C:\Program Files\DAEMON Tools Lite\daemon.exe - драйвер вот от этой программы.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('livenote.exe','');
QuarantineFile('MSVCR32.DLL','');
QuarantineFile('C:\Program Files\CPUCooL\CooLSrv.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('MSVCR32.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
CPUCooL - эта программа установлена?
Что вот это livenote.exe знаете?
сделать новые логи.
Загрузить карантин.
Последний раз редактировалось PavelA; 17.12.2008 в 14:58 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('C:\WINDOWS\System32\drivers\vmi386.sys','');
DeleteService('vmi386');
DeleteFile('C:\WINDOWS\System32\drivers\vmi386.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('vmi386');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
57
PavelA CPUCool не установлен, про livenote ничего не знаю. Логи прилагаю, а вот в карантин ничего не попало. Только .ini файлы
Вложения
Junior Member
Вес репутации
57
Да, забыл сказать. Cure iT! при чистке удалил как раз файлы vmi386.sys, MSVCR32.DLL и tdll.dll
livenote - обновлялка драйверов для Асуса.
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('CPUCooLServer');
DeleteFile('C:\Program Files\CPUCooL\CooLSrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
C:\Program Files\CPUCooL\ - вот это можно все удалить.
Последний раз редактировалось PavelA; 17.12.2008 в 17:10 .
Причина: Поправил ошибочку
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Что-то AVZ на скрипт ругается Undeclared Identifier BC_DeleteService позиции 4:17
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
А я было подумал, что уже все закончилось...Ан, нет.
Теперь вот к userinit'у некий twext.exe прилепился
Вложения
Мда, пора в консерватории исправлять:
Код:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Junior Member
Вес репутации
57
Поставил только что SP3. Начались проблемы с IE - не вводятся адреса, все время открывается домашняя страничка и тормоза большие. В итоге снес. Возможно, вирус себя так проявляет, но на SP2 подобного не происходит.
Жду ответа по логам.
Скачать Icesword В нем найти и удалить C:\WINDOWS\System32\Drivers\sfc.SYS
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
В Icesword строку C:\WINDOWS\System32\Drivers\sfc.SYS обнаружить не удалось
Вложения
В логах чисто. Надеюсь, что проблемы исчезли.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Спасибо, вроде исчезли. Меня только настораживает лог HijackThis, а именно вот эти строчки
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C536199D-9415-4B8B-BEBB-B28AB894635C}: NameServer = 82.199.96.143 195.94.224.134
и вот эти
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
Уж больно много CTFMON'а
CTFMON - переключалка языка в трейе для каждого пользователя прописана.
82.199.96.143 195.94.224.134 - адреса знакомы? Если нет, то можно профиксить.
c:\windows\system32\nwprovau.dll - для Новельской сетки. Если она не используется, то не страшно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую