Junior Member
Вес репутации
55
AVZ и HijackThis не запускаются ни в каком виде
Компьютер с установленным Windows XP Home Edition SP 2, (анстивирус на сервере - Dr.Web 4.44 Enterprise, на указанном клиенте соответственно клиентская его часть) после загрузки рабочего стола через несколько секунд выкидывал на синий экран (в безопасном режиме грузился нормально).
После проверки CureIt (от 01.06.2009), при загрузке в безопасном режиме было обнаружено 22 вируса (приемущественно трояны, некторые с пометкой rootkit)
После лечения компьютер загружается нормально, однако обновления устанавливать не дает (отказано в доступе), редактор реестра не стартует, AVZ и HijackThis не запускаются даже после переименования. Соответственно логов нет
IceSword запускается и дает сохранить логи. Пунктов, выделенных красным в нем нет. Как я понимаю логи тожо можно прислать сюда?
Если такая ситуация уже была, прошу указать ссылку.
Заранее спасибо!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Из моей подписи скачайте AVZ и сделайте логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Высылаю логи: virusinfo_syscheck.zip и virusinfo_syscure.zip
Так же был создан файл virusinfo_cure.zip, однако в описании сказано, что он высылается по отдельному требованию, поэтому не стал его присоединять.
Вложения
Уж и не знаю, выживет система или нет. Полный набор
всевозможного зверья.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\mmmkixki.dll','');
DeleteService('Winub85');
DeleteService('Winvc30');
DeleteService('Winvc63');
DeleteService('Winwd84');
DeleteService('Winxe85');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh27.sys','');
DeleteService('Winpv41');
DeleteService('Winms74');
DeleteService('Winms06');
DeleteService('Winio06');
DeleteService('Winek17');
DeleteService('Wincj41');
DeleteService('Winbh27');
QuarantineFile('C:\WINDOWS\system32\drivers\sqtnwqos.sys','');
DeleteService('sqtnwqos');
QuarantineFile('C:\WINDOWS\system32\drivers\vxkafbuyz.sys','');
DeleteService('qwmckaphfws');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('WmiApSrvSwPrv');
DeleteService('WebClientShellHWDetection');
DeleteService('srserviceWmiApSrvSwPrv');
DeleteService('srserviceMSIServer');
DeleteService('SamSsDhcp');
DeleteService('RasAutoPolicyAgent');
DeleteService('NVSvcupnphostDhcpClipSrv');
DeleteService('NVSvcupnphostDhcp');
DeleteService('NVSvcupnphost');
DeleteService('NlaSENS');
DeleteService('HTTPFilterWZCSVC');
DeleteService('CiSvcProtectedStorage');
QuarantineFile('C:\WINDOWS\System32\drivers\74834968.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\74834968.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\vxkafbuyz.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sqtnwqos.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winio06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe85.sys');
DeleteFile('C:\WINDOWS\system32\mmmkixki.dll');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('crypts.dll');
DeleteFile('digeste.dll');
DeleteFile('msansspc.dll');
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Загрузить карантин сегодняшний по Правилам через http://virusinfo.info/upload_virus.php?tid=46970
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Высылаю новые логи
Однако не понял насчет карантина. У меня в папке AVZ создалась папка Quarantine, а в ней папка с текущей датой. Но она пустая. Соответственно "Добавление карантина по списку" пустое, а в "Просмотре карантина" указана только папка с текущей датой и архивация не происходит.
Вложения
Лог Хиджака еще сделайте.
Значит, файлов не досталось, одни ссылки на них в реестре были.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Он по-прежнему не запускается, а переименованный пишет ошибку библиотеки MSVBVM60.DLL.
Регедит тоже по-прежнему не работает.
Скачать Icesword. В нем найти и удалить:
C:\WINDOWS\System32\drivers\74834968.sys, предварительно скопировав его куду-нибудь.
Выполнить:
Код:
begin
ExecuteRepair(9);
ExecuteRepair(17);
RebootWindows(true);
end.
Далее повторить логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Редактор реестра запустился, логи высылаю.
Однако есть всякие несостыковки, например просмотр скрытых файлов не работает. Вобще возможно излечение данной машины?
HijeckThis по прежнему пишет ту же ошибку. Причем теперь и не переименованная версия.
Вложения
Через icesword файл удаляли?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winxe85');
StopService('Winwd84');
StopService('Winvc63');
StopService('Winvc30');
StopService('Winub85');
StopService('Winpv41');
StopService('Winms74');
StopService('Winms06');
StopService('Winio06');
StopService('Winek17');
StopService('Wincj41');
StopService('Winbh27');
StopService('sqtnwqos');
StopService('qwmckaphfws');
StopService('port135sik');
StopService('nicsk32');
StopService('netsik');
StopService('i386si');
StopService('fips32cup');
QuarantineFile('msansspc.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\system32\mmmkixki.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winub85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winms74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winms06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winio06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winek17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincj41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh27.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\vxkafbuyz.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\sqtnwqos.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\74834968.sys','');
DeleteService('Winxe85');
DeleteService('Winwd84');
DeleteService('Winvc63');
DeleteService('Winvc30');
DeleteService('Winub85');
DeleteService('Winpv41');
DeleteService('Winms74');
DeleteService('Winms06');
DeleteService('Winio06');
DeleteService('Winek17');
DeleteService('Wincj41');
DeleteService('Winbh27');
DeleteService('sqtnwqos');
DeleteService('qwmckaphfws');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('i386si');
DeleteService('fips32cup');
DeleteFile('msansspc.dll');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
DeleteFile('C:\WINDOWS\system32\mmmkixki.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winio06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbh27.sys');
DeleteFile('C:\WINDOWS\system32\drivers\vxkafbuyz.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sqtnwqos.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\System32\drivers\74834968.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winxe85');
BC_DeleteSvc('Winwd84');
BC_DeleteSvc('Winvc63');
BC_DeleteSvc('Winvc30');
BC_DeleteSvc('Winub85');
BC_DeleteSvc('Winpv41');
BC_DeleteSvc('Winms74');
BC_DeleteSvc('Winms06');
BC_DeleteSvc('Winio06');
BC_DeleteSvc('Winek17');
BC_DeleteSvc('Wincj41');
BC_DeleteSvc('Winbh27');
BC_DeleteSvc('sqtnwqos');
BC_DeleteSvc('qwmckaphfws');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
55
Антивирус отключен и выгружен, файрволла нет, брандмауэр остановлен на уровне служб, восстановление системы отключено.
После выполнения скрипта компьютер сам ушел в перезагрузку.
Высылаю только логи AVZ, т.к. HijackThis, скачанный у Вас не запустился (как в оригинале, так и в переименованном виде), написав, что не хватает компонента MSVBVM60.DLL (причем эта ошибка вылазит как на инсталляторе, так и на запускаемом файле).
Карантин высылаю по инструкции.
Вложения
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('PPLSPXTU');
StopService('PMVOSVOV');
StopService('74834968');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\PMVOSVOV.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\74834968.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\74834968.sys');
DeleteFile('C:\WINDOWS\system32\drivers\PMVOSVOV.sys');
DeleteFile('C:\WINDOWS\system32\drivers\PPLSPXTU.sys');
DeleteFile('WinCtrl32.dll');
DeleteService('PMVOSVOV');
DeleteService('74834968');
DeleteService('PPLSPXTU');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('PMVOSVOV');
BC_DeleteSvc('74834968');
BC_DeleteSvc('PPLSPXTU');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. У Вас темпы ИЕ не очищены!!!
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
http://www.dll-files.com/dllindex/dl...shtml?msvbvm60 - можно закачать отсюда
библиотеку и положить в директорию к Хиджаку.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Все сделал по Вашим указаниям. Высылаю логи и карантин
PavelA за ДЛЛ спасибо!
Вложения
профиксить:
Код:
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: reset5c - reset5c.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Скачать gmer. В нем удалить 'C:\WINDOWS\System32\drivers\74834968.sys'
После этого повторить скрипт Rene-gada
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Все выполнил, однако gmer указанного файла не нашел. Через проводник его естественно тоже нет. (но ведь я его уже удалял через icesword)
высылаю логи и карантин
virus.zip не захотел грузиться, написав, что данный файл уже загружен. Может я два раза нажал на "Загрузить"?
Вложения
Последний раз редактировалось Rene-gad; 03.06.2009 в 19:36 .
Выполнить скрипт для зачистки:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('WmiApSrvSwPrv');
BC_DeleteSvc('srserviceWmiApSrvSwPrv');
BC_DeleteSvc('srserviceMSIServer');
BC_DeleteSvc('SamSsDhcp');
BC_DeleteSvc('RasAutoPolicyAgent');
BC_DeleteSvc('NVSvcupnphostDhcpClipSrv');
BC_DeleteSvc('NVSvcupnphostDhcp');
BC_DeleteSvc('NVSvcupnphost');
BC_DeleteSvc('NlaSENS');
BC_DeleteSvc('HTTPFilterWZCSVC');
BC_DeleteSvc('CiSvcProtectedStorage');
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Полечить реестр как описано в http://virusinfo.info/showthread.php?t=43700
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
55
Уважаемые, пока нету возможности добраться до злосчастного компа. Но возникает вопрос... Если у меня, допустим 100 компов, мне по каждому нужно высылать логи и выполнять скрипты? И как можно защитить вылеченные машины, кроме антивируса и заплаток к винде?