-
Junior Member
- Вес репутации
- 51
После попыток вылечить WinXP перезагр. на старте
Здравствуйте!
Рабочий компьютер подхватил какую-то заразу. Сначала после логина под любым пользователем в любом режиме стало появляться окно с сообщением о внезапном завершении services.exe и перезагрузке через 60 секунд. После загрузки с помощью Alkid'а вычистил из раздела Userinit все после запятой и соответствующие файлы с винчестера. Кроме того, один из них был прописан в сервисы. (c40c2d12.exe, rdfsaz.exe, MSDartSR.cmd - все в system32). После этого смог заходить в сейфмоду (правда, был блокирован доступ ко многим антивирусным сайтам и сайту MS). Зато в обычном режиме дело перестало доходить даже до логонскрина - сразу после пробегания прогрессбара в текстовом режиме - перезагрузка. В сейфмоде выполнил route -f и несколько раз прогнал Vit Registry Fix и Malwarebytes' anti-malware. Результат: в сейфмоде блокировка сайтов прекратилась, в обычном режиме - не доходит даже до прогрессбара.
Прилагаю логи, очень надеюсь на помощь!
П.С. Забыл на всякий случай сказать: вся статистика была собрана из под сейфмоды стандартного Администратора...
П.П.С. Забыл указать, что компьютер работал под лицензионным DrWeb'ом, после того, как я смог загрузиться в сейфмоде прогнал свежим Касперским (бесплатным), который нашел тучу всяких рисков, для всех из которых говорил Лечить, не лечится - удалить.
Последний раз редактировалось -=LJ=-; 14.08.2010 в 18:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
вся статистика была собрана из под сейфмоды стандартного Администратора...
... и потратили впустую уйму времени: логи из безопасного режима бесполезны.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Logfile of HijackThis v1.99.1
- Скачайте последнюю версию Hijackthis по ссылке в правилах.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cloverm.sys','');
DeleteService('AWService');
QuarantineFile('AWService.sys','');
DeleteFile('AWService.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\AWService.sys');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('AWService.sys');
BC_Activate;
CreateQurantineArchive('%userprofile%\desktop\avz_quarantine.zip');
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Файл avz_quarantine.zip с Рабочего Стола закачайте ТУТ для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Последний раз редактировалось Rene-gad; 15.08.2010 в 11:02.
-
-
Junior Member
- Вес репутации
- 51
Позвольте уточнить: действия, которые Вы предлагаете сделать, следует делать не из сейфмоды? Но ни в каком другом режиме я загрузиться не могу - перезагрузка наступает на очень ранней стадии (см. первое сообщение).
Добавлено через 14 минут
По скрипту: Ошибка скрипта: Too many actual parameters, позиция [14:13]
По Хайджеку: Обновил, но таких строк [020] у меня нет. F2 пофиксил.
Сейчас перезагружусь и еще раз все попробую...
Добавлено через 6 минут
Зайти в систему кроме как в сейфмоде по прежнему не могу - сразу после прогресбара в текстовом режиме происходит перезагрузка и старт меню, из которого остается только выбрать сейфмоду...
Добавлено через 4 минуты
Я правильно понимаю, что в вызове BC_DeleteSvc('AWService.sys','');
второй параметр (пустая строка) - лишний?
Добавлено через 31 минуту
Исправил ошибку в скрипте как знал (убрал лишний параметр), выполнил карантин приаттачил.
Последний раз редактировалось -=LJ=-; 14.08.2010 в 20:56.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
Собрал логи еще раз. Снова, увы, в сейфмоде. Из под пользователя, под которым произошло заражение.
-
Сообщение от
-=LJ=-
Снова, увы, в сейфмоде. Из под пользователя, под которым произошло заражение.
Запускать антируткиты в сейфмоде бессмысленно. Если пользователь не имеет прав админа - это дважды бессмысленно.
- Сделайте лог полного сканирования MBAM.
Последний раз редактировалось Rene-gad; 15.08.2010 в 11:11.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Rene-gad
Запускать антируткиты в сейфмоде бессмысленно. Если пользователь не имеет прав админа - это дважды бессмысленно.
- Сделайте лог полного сканирования
MBAM.
Он их имеет. Лог MBAM прилагаю.
-
Junior Member
- Вес репутации
- 51
Сообщение от
Rene-gad
Запускать антируткиты в сейфмоде бессмысленно. Если пользователь не имеет прав админа - это дважды бессмысленно.
- Сделайте лог полного сканирования
MBAM.
Пока больше ничего сделать невозможно?
-
Сообщение от
-=LJ=-
сразу после пробегания прогрессбара в текстовом режиме - перезагрузка.
Выберите "Отключить автоматическую перезагрузку при отказе системы". Что там будет написанно?
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
light59
Выберите "Отключить автоматическую перезагрузку при отказе системы". Что там будет написанно?
Раньше так делал - результат был ровным счетом такой же. Никаких надписей, никакой информации на экране - перезагрузка и все.
Увы, теперь это все в прошлом. Я уже от безвыходности попытался произвести repair installation винды, но диск, который мне для этой цели пришлось использовать, был неправильный. В результате я теперь прекрасно попадаю в логонскрин обычного (не сэйф) режима, но залогиниться не могу по причине - требуется активация
-
Junior Member
- Вес репутации
- 51
Сообщение от
light59
Выберите "Отключить автоматическую перезагрузку при отказе системы". Что там будет написано?
К счастью, удалось найти подходящий диск и произвести восстановительную установку. Смог загрузиться в нормальном режиме под тем пользователем с правами администратора, под которым произошло заражение. Систематически стало выводиться сообщение об ошибке и завершении процесса msfeedssync.exe.
Снял логи HJT. AVZ в процессе. Мучительно надеюсь на дальнейшую помощь...
-
Junior Member
- Вес репутации
- 51
Во время выполнения длинного скрипта AVZ комп завис и перезагрузился, предварительно выдав сообщение о завершении winlogon.exe
-
Junior Member
- Вес репутации
- 51
Удалил несколько ненужных программ. Выполнил msfeedssync.exe disable. Пересобрал статистику. Работа компьютера пока доверия не вызывает: время от времени виснет, вылетают обычные программы. В сеть пока его не пускаю, только обновил Доктора Веба.
-
Junior Member
- Вес репутации
- 51
Сообщение от
light59
Что там будет написано
Последние логи чистые? Я после их высылки удалил все, что относилось к Акробату (как Ридеру, так и просто акробату). Но сейчас через некоторое время после начала работы начинает дурить lsass.exe - занимает почти все ресурсы процессора... Какую еще информацию я могу предоставить, что бы победить заразу? Обидно было бы после стольких мучений завершить дело полной переустановкой винды ((
-
Сообщение от
-=LJ=-
только обновил Доктора Веба.
какого Др.Веба?! У Вас же там Нортон установлен... Вы уж плиз решайте, какой антивирус, но не 2 сразу.
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
А заразы в логах не увидел.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Rene-gad
какого Др.Веба?!
У Вас же там Нортон установлен... Вы уж плиз решайте, какой антивирус, но не 2 сразу.
- Установите все
важные обновления.
- Установите
IE 8 - даже если Вы им не пользуетесь.
А заразы в логах не увидел.
Нортон там стоял последний раз около трех лет назад. Сейчас как минимум год там стоит лицензионный Дрвеб - это совершенно определенно. Стоял до последнего времени во вспомогательном режиме (без мониторинга) Комодо, но Нортон - нет.
Все обновления и ИЕ8 я установил после последних логов, но до последнего сообщения... Зависание и отжирание lsass'ом ресурсов процессора отмечалось уже после того, как все это было выполнено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-