Преамбула:
Знакомый принес ноут с вирусами. Жалоба : "Не удается зайти ни в свой профиль, ни в профиль Администратора. Вводим пароль, появляется сообщение о загрузке параметров пользователя, показывается заставка рабочего стола, потом опять возникает приветственное окно и сообщение "Сохранение параметров" и виндовс выходит из учетной записи"
Проблема оказалась в измененном параметре HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (C:\WINDOWS\system32\userinit.exe, было изменено на C:\WINDOWS\userinit.exe). Поправили, все загрузилось
Теперь, собственно, амбула
Почистил временные файлы, кэш браузера, отключил "Восстановление системы", загрузился в сэйф-моде, проверил Kaspersky Virus Removal Tool - все чисто. Загрузился в обычном режиме, установил Антивирус Касперского 2009 (пробную версию), обновил базы, перегрузился, запустил полную проверку и на тебе: Trojan-Clicker.Win32.Costrat.gb в System Memory. Предлагает удалить и перезагружает компьютер, но после перезагрузки - все по новой
Проверил еще раз Kaspersky Virus Removal Tool - все чисто.
AVZ с сегодняшними базами нашел вот такое:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=AAA2F000, размер=131072, имя = "\systemroot\system32\drivers\senekamvwtsdrc.s ys"
1.5 Проверка обработчиков IRP
\FileSystem\FastFat[IRP_MJ_CREATE] = F77823B5 -> C:\WINDOWS\System32\drivers\1b00f326.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F7783207 -> C:\WINDOWS\System32\drivers\1b00f326.sys
Файла senekamvwtsdrc.sys на винте не нашел (искал FAR-ом)
Файл 1b00f326.sys есть, но удалить через "отложенное удаление" не удается
Подскажите, плз, куда копать
Логи AVZ и HiJackThis прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43805
Если удалится, то после всего этого поправить реестр для служб wuauserv и BITS
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Скрипт выполнил
Сделал+приложил логи
С карантином не совсем разобрался :
имеется файл virusinfo_cure.zip, размер 22 байта, при открытии winrar-ом - архив - пустой.
При просмотре по F3 из FAR-а в файле 4 символа. Его так и слать или уже не надо?
Сообщение от PavelA
Если удалится, то после всего этого поправить реестр для служб wuauserv и BITS
Все чисто
Ща буду wuauserv лечить - с ней и вправду косяки какие-то
Последний раз редактировалось jail; 14.04.2009 в 20:21.
В логах все в порядке.
Рекомендуется установить SP3 + последующие обновления. Про wuauserv и BITS.
Bratez, спасибо!
Поправил, как Вы и советовали, в реестре ImagePath с %fystemRoot% на %systemRoot% , но Автоматическое обновление и BITS так и не запустились
SP3 тоже ставиться не захотел - "отказано в доступе". По логам выяснил, что при попытке ручного запуска BITS и wuauserv, получаем ошибку 7028 от Service Control Manager "В раделе реестра wuauserv запрещен доступ к программам учетной записи SYSTEM, поэтому владельцем раздела стал диспетчер служб".
И вправду, после ручной смены разрешений на
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\BITS и
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\wuauserv
все заработало!
Еще раз спасибо всем откликнувшимся!
Уважаемый(ая) jail, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: