Случилось это в мое отсутствие. Как объяснил тот, кто ходил по Интернету, искал мелодии для мобильника. В результате комп стал тормозить и выбрасывать окна с предупреждениями, при закрытии которых шел на перезагрузку и сканирование диска. Прочитав некоторые темы на вашем сайте под ДОС удалил подозрительные файлы, но часть из них появляется снова. Касперский молчит и не реагирует на попытки запуска. Поставленные дополнительные антивирусы что-то говорят, но я в этом плохо разбираюсь. При сканировании AVZ по вашим инструкциям нажатие кнопки "Развернуть во весь экран" привело к перезагрузке попытке сканирования диска. Повторное сканирование произвел "ничего не трогая". Направляю вам файлы. Может, просто обновить WINDOWS или переустановить? Если это поможет. Больше ничего до вашего ответа трогать не буду.
Последний раз редактировалось иван иваныч; 15.02.2007 в 14:35.
Причина: Не то послал. Извините
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Система будет перезагружена. После перезагрузки пришлите карантин AVZ, как написано в прил.2 правил. Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7967
В дополнение: Windows XP SP1 официально не поддерживается Microsoft. Рекомендуется установить SP2+все последующие дополнения. Имейте в виду, что в вашем случае, после установки SP2, потребуется регистрация Windows. И касперского, если он легальный, лучше обновить до 6-й версии
да, винду поменять на сп2 конечно стоит. и правила прочитать в части отключения всего лишнего. например C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe - надеюсь сами ставили ?
еще не вижу в логе IE, который в правилах рекомендуется запустить.
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp - твикер сами ставили ?
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k - с чего бы это ?
O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - HKCU\..\Run: [Registry] "C:\Program Files\Greatis\RegRunSuite\lsoon.exe" -1 30 "C:\Program Files\Greatis\RegRunSuite\rescue.exe" /a "c:\backreg\rstore.ini"
вроде как сторож с автоматическим восстановлением ? или зверь какой ?
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab - вот этот файлик пришлите, как написано в правилах
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
вобще непонятка
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe - еще один твикер ?
Спасибо всем за участие. Сделал, как посоветовали согласно скрипту. Сейчас идет отправка файла.
Но, к сожалению, ничего не изменилось. После перезагрузки система подвисла с синим экраном. Пришлось нажать ресет. Загрузилась, отсканировала винт. Запустил DrWeb - нашлась все та же zcneiv32.dll с инфекцией. И еще куча других. Лечились, перегружались... К сожалению, я не силен в этом. Но есть какое-то подозрение на антивирус касперского, который мне поставил когда-то мой продвинутый приятель. Да, видно программа нелегальная. Ругалась одно время. А потом изчезла иконка, перестал загружаться из Пуска, а когда я пытаюсь его удалить, он требует его закрыть сначала. Но как это сделать? Через панель управления тоже не помогло, как и удаление из автозагрузки. И эта беда - внезапная перезагрузка и сканирование - достала уже. WINDOWS переустановлю, но не хочу это сделать так, чтоб потерялась ценная годами наработанная информация. Нужно как-то вылечить систему. Может, посоветуете, что сделать. Прилагаю сегодняшние утренние логи.
Из того, что вы прислали:
C:\WINDOWS\System32\wincom32.sys - вирус Email-Worm.Win32.Zhelatin.d
C:\WINDOWS\System32\zcneiv32.dll - Backdoor.Win32.Agent.fo
c:\cp1041.nls - SpamTool.Win32.Agent.u (все - по классификации Касперского)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\cp1041.nls');
DeleteFile('C:\WINDOWS\System32\wincom32.sys');
DeleteFile('C:\WINDOWS\System32\zcneiv32.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки в программе hijackthis пофиксите строки
Сделал. Мне показалось, что вылечен. Но окончательный диагноз поставите вы. Логи прилагаю. Проблему с касперским решил сам касперский. Скачал Kaspersky Internet Security 6.0.2.614. Пробовал установить. Он просил удалить 5 версию и выбрасывал в Панель управления, где ничего не получалось с удалением. Когда проигнорировал это требование, программа с двумя перегрузками (уже без попыток сканирования диска) установилась. Теперь ее нужно проактивировать. Есть вопрос. Когда включить снова ранее отключенную опцию Восстановление системы?
До конца не вылечились файл c:\cp1041.nls создан заново, значит осталось что-то. Пока так: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Система будет перезагружена. После перезагрузки, загрузите файл virusinfo_7967_quarantine.zip из папки AVZ через ссылку "прислать запрошенные файлы", или как написано в прил.2 правил.
Последний раз редактировалось RiC; 17.02.2007 в 10:21.
Выслать вам virusinfo_7967_quarantine.zip не могу, так как ситуация уже изменилась. Проактивировал антивирус касперского и запустил его. И тут началось. Уж мы их душили-душили, душили-душили... Просто наслаждение. Но. Этот антивирус почистил и все ваши логи. Отчет о его работе я пересылаю в файле "результат проверки кав.txt". Прилагаю также лог проверки с помощью AVZ и hijackthis. Посмотрите, пожалуйста, сейчас, все ли чисто. Ваши подозрения насчет файла ndis.sys оказались верными. Это он порождал потом cp1041.nls. И мало того, после того как касперский удалял его, cp1041.nls, появлялся через минуту cp1292.nls, после удаления которого - cp2913.nls, далее - cp2368.nls. И так было бы бесконечно, пока я не загрузился в дискетты в ДОСе и не удалил ndis.sys. Посмотрите, пожалуйста, логи. Кто там пытается перехватывать процессы и потоки? Или так и нужно.
Все. Нет больше C:\WINDOWS\system32\drivers\ndis.sys как и самой WINDOWS. Замечательный скрипт. Он прозвучал последним аккордом в этой грустной истории. Если бы Geser сказал немного раньше, я прислал бы эту тварь. Теперь у меня ничего нет. А может и к лучшему. Иногда в доме полезно сделать ремонт. Ну или переставить мебель. Всем спасибо за участие. Дело ваше благородное. Вы напомнили мне Men in black. Так же бескорыстно идете на бой с мерзостью. Дерзайте дальше и не отступайте. А я иду искать в магазин новые версии любимых программ. Это было хорошим уроком.И прекрасной иллюстрацией пренебрежения избитых истин о бесплатном сыре, о том, что все зло от женщин, что скупой платит дважды. Можно продолжать дальше без конца. Всякая революция чего-то стоит, если она умеет защищаться. В.И.Ленин. И система, добавим, тоже...
Не огорчайся. Если огорчил мой скрипт, то он написан по анализу лога HijackThis.
Кстати, в соседней теме есть советы как восстановить правильный ndis.sys Вкратце, правильный файл из дистрибутива можно положить в system32\dllcache и винда его восстановит.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: