Поначалу не запускались AVZ и HJ. После запуска cureit удалилось несколько вирусов и BSOD. Послк перезагрузки стали запускаться avz и hj. AVZ я переименовал.
Поначалу не запускались AVZ и HJ. После запуска cureit удалилось несколько вирусов и BSOD. Послк перезагрузки стали запускаться avz и hj. AVZ я переименовал.
Последний раз редактировалось alivan; 02.10.2010 в 19:00.
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\erxtpq.exe',''); QuarantineFile('C:\WINDOWS\system32\61ce5e6d.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\jiahu.sys',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); DeleteFile('C:\WINDOWS\system32\61ce5e6d.exe'); DeleteFile('C:\WINDOWS\system32\erxtpq.exe'); QuarantineFileF('%system32%', '*.exe', false,'', 0, 0, '28.07.2010', '28.08.2010'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; SetAVZPMStatus(true); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите + в дополнение сделайте лог Gmer
Paula rhei.
Поддержать проект можно тут
Карантин отправлен. При перезагрузке продолжает выскакивать сообщение об ошибке запуска sisdgi32. При запуске gmer выскакивает окно о возможной модификации системы, при начале сканирования BSOD.
Последний раз редактировалось alivan; 27.10.2010 в 13:19.
Сделайте логи последней версией AVZ, + Сделайте лог Vba32 AntiRootkit в режиме ordinary.
Paula rhei.
Поддержать проект можно тут
Новые логи.
Последний раз редактировалось alivan; 27.10.2010 в 13:19.
В AVZ выполните скрипт в безопасном режиме загрузки операционной системы:
Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\Drivers\jiahu.sys',''); BC_QrFile('C:\WINDOWS\system32\Drivers\jiahu.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\jiahu.sys'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sisgbi32.exe'); BC_ImportAll; ExecuteSysClean; AddToLog(inttostr(BC_ServiceKill('jiahu')) ); SaveLog(GetAVZDirectory+'avz_log.txt'); ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
Карантин отправил. Теперь знаю что бывает, если вместо карантина попытаться отправить лог (по ошибке). Окно об ошибке выполнения sisgbi32 пропало. Но при попытке запустить gmer тоже самое. BSOD вылетает на jiahu.sys (если не ошибаюсь).
Последний раз редактировалось alivan; 02.11.2010 в 15:19.
В AVZ - Сервис - Модули пространства ядра - кликните по файлу jiahu.sys и нажмите кнопочку "Снять дамп текущего модуля". В результате образуется папка DMP в каталоге с avz, заархивируйте ее и пришлите на изучение.
В AVZ выполните скрипт:
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\at7qoo74.SYS',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys',''); BC_QrFile('C:\WINDOWS\system32\DRIVERS\atapi.sys'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Paula rhei.
Поддержать проект можно тут
Карантин отправил.
Последний раз редактировалось alivan; 03.09.2010 в 21:37.
Запустите Vba32 AntiRootkit. Зайдите в секцию Tools - Kernel Modules - Найдите файл C:\WINDOWS\system32\Drivers\jiahu.sys, правая клавиша мыши - Wipe File. Перезагрузитесь, повторите лог AVZ virusinfo_syscure.zip
Paula rhei.
Поддержать проект можно тут
Лог.
Последний раз редактировалось alivan; 02.11.2010 в 15:19.
Какой-то неубиваемый драйвер. Для чего он используется?
Добавлено через 2 часа 59 минут
Все же что с системой?
Последний раз редактировалось alivan; 29.08.2010 в 12:11. Причина: Добавлено
Упорный зловред. Попрошу вас о следующем. Загрузитесь с LiveCD, скопируйте файл C:\WINDOWS\system32\Drivers\jiahu.sys в какую нибудь папку и переименуйте его в virus.tmp. Исходный файл удалите. Загрузитесь в обычном режиме, заархивируйте данный файл в архив с паролем virus и пришлите по красной ссылке вверху темы. Повторите лог virusinfo_syscure.zip.
Paula rhei.
Поддержать проект можно тут
Карантин отправил.
Последний раз редактировалось alivan; 02.11.2010 в 15:19.
C:\WINDOWS\system32\Drivers\jiahu.sys - Rootkit.Win32.Agent.biiu (Trojan.Packed.20819)
Выполните скрипт в AVZ
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\Drivers\jiahu.sys'); DeleteService('jiahu'); DeleteFile('jiahu.sys'); BC_DeleteSvc('jiahu'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
После перезагрузки снова повторите лог virusinfo_syscure.zip.
Paula rhei.
Поддержать проект можно тут
avz_log.txt до того как сделал обновления. Сейчас пишет что не обнаружено уязвимостей.
Последний раз редактировалось alivan; 02.11.2010 в 15:19.
чисто
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\sisgbi32.exe - Trojan.Win32.VB.ajzr ( DrWEB: Trojan.Botnetlog.518, BitDefender: Trojan.Generic.4804659, AVAST4: Win32:Malware-gen )
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.caz ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
- \\virus.tmp - Rootkit.Win32.Agent.biiu ( DrWEB: Trojan.Packed.20819, BitDefender: Rootkit.40832, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )
Уважаемый(ая) alivan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.