Началось все с того, что Касперский при посещении какого-то сайта стал ругаться на Backdoor.Win32.Agent.uu
Сканирование Касперским выявило кучу троянов.
Переустановка Windows не помогла.
В дальнейшем после перезагрузки Касперский ругался на файл maindll.dll
Лечению он не поддавался и Касперский его удалял, но после перезагрузки файл возникал снова и Касперский снова на него ругался.
На время лечения я на всякий случай отключил комп от сети (физически выдернув сетевой шнур). После лечения АVZ Касперский уже ни на что не ругается (в том числе и при сканировании всех дисков). Но AVZ по прежнему выдает, что в памяти сидит кто-то нехороший и перехватывает системные вызовы
Сейчас подключил комп к Интернету, высылаю логи как сказано в правилах
Последний раз редактировалось Katalizator; 28.03.2007 в 00:26.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
потом повторите логи AVZ с установленым драйвером расширеного мониторинга AVZPM
А вы вообще CureIt использовали?
Скрипт выполнил, комп перезагрузился.
Потом поставил драйвер AVZPM, перезагрузился, повторил стандартный скрипт лечения. Потом еще раз перезагрузился (в соответствии с п.9 правил), хотел запустить скрипт сбора информации, но не успел, так как сразу после перезагрузки (как только я выключил Касперского) комп неожиданно завис, причем с красивым глюком на экране (типа шумовых помех на экране телевизора).
Утром разбираться с этим не было времени, т.к. опаздывал на работу. Вечером пришлю новые логи и файлы карантина.
P.S. CureIT я использовал (еще до сбора логов AVZ). Он нашел мне парочку SpamBot'ов, которые скстати Касперский не увидел. Но всех проблем решить не смог...
Сделал все как вы сказали. Правда у меня есть смутные подозрения, что я зря еще раз запускал сканирование с лечением не заархивировав предварительно результаты первого карантина. Не могли ли в результате этого карантинные файлы затереться? Повторное выполнение вашего скрипта отправило в карантин только один файл. Опыта работы с AVZ у меня пока очень мало, поэтому тупо следую вашим инструкциям.
Как бы там ни было, я закачал два архива с подозрительными файлами от двух карантинов через систему закачки.
Это про c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe
Плюс определяет его Dr.Web.
F-Secure 6.70.13030.0 03.29.2007 W32/Malware.JSH
Ikarus T3.1.1.3 03.29.2007 no virus found
Kaspersky 4.0.2.24 03.29.2007 Trojan.Win32.KillAV.jr
McAfee 4994 03.28.2007 no virus found
Microsoft 1.2306 03.29.2007 no virus found
NOD32v2 2152 03.28.2007 no virus found
Norman 5.80.02 03.28.2007 W32/Malware.JSH
Panda 9.0.0.4 03.28.2007 Trj/Agent.EPU
Prevx1 V2 03.29.2007 Malicious
Те файлы, что просил прислать Drongo - все вредоносные.
Последний раз редактировалось PavelA; 29.03.2007 в 10:20.
Причина: Добавил про второй карантин
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Это про c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe
Плюс определяет его Dr.Web.
F-Secure 6.70.13030.0 03.29.2007 W32/Malware.JSH
Ikarus T3.1.1.3 03.29.2007 no virus found
Kaspersky 4.0.2.24 03.29.2007 Trojan.Win32.KillAV.jr
McAfee 4994 03.28.2007 no virus found
Microsoft 1.2306 03.29.2007 no virus found
NOD32v2 2152 03.28.2007 no virus found
Norman 5.80.02 03.28.2007 W32/Malware.JSH
Panda 9.0.0.4 03.28.2007 Trj/Agent.EPU
Prevx1 V2 03.29.2007 Malicious
Те файлы, что просил прислать Drongo - все вредоносные.
Ну это я уже понял. А как их теперь вылечить, и чем? Или вылечить вообще не удастся и нужно их удалять и переустанавливать с дистрибутива?
Вообще подскажите что сейчас делать? Заранее большое спасибо за помощь.
многое в карантине не обнаружено, надо его получить потому что скорее всего это не здаровые файлы..
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
Прогнал ваш скрипт, но в карантин опять попал только один файл. Я его выслал под именем virus29mar2007.zip Могли ли остальные файлы из вашего скрипта быть удалены раньше, во время одного из предыдущих лечений?
Мне кажется было бы удобнее, если бы имя директории карантина состояло не только из даты, но и из времени. Тогда при повторном запуске в тот же день, предыдущий карантин бы не затирался (или файлы в нем в любом случае остаются?)
Высылаю также лог очередной проверки системы. Вредоносных программ вроде не обнаружено, но что означает вот этот кусок лога?
>>> Внимание, таблица KiST перемещена ! (804721E8(24->E152E008(261))
Функция NtClose (1 перехвачена (8044EAF0->BE7F42E6), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtCreateKey (23) перехвачена (80511E50->BFFE77D0), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtCreatePagingFile (27) перехвачена (804CC896->BFFDBA20), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtCreateProcess (29) перехвачена (804E2264->BE7F3AA6), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtCreateSection (2B) перехвачена (804CB10E->BE7F3F16), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtEnumerateKey (3C) перехвачена (8051263E->BFFDC2A, перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtEnumerateValueKey (3D) перехвачена (80512894->BFFE7910), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtOpenKey (67) перехвачена (805133F2->BFFE7794), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtOpenProcess (6A) перехвачена (804DEB24->BE7F3B26), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtQueryInformationFile (82) перехвачена (804A8D2E->BE7F4366), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtQueryKey (8B) перехвачена (80513672->BFFDC2C, перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtQueryValueKey (9B) перехвачена (80513908->BFFE7866), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtSetInformationProcess (C6) перехвачена (804DF958->BE7F259E), перехватчик C:\WINNT\system32\Drivers\klif.sys
Функция NtSetSystemPowerState (D1) перехвачена (8048B7B6->BFFE70B0), перехватчик C:\WINNT\system32\Drivers\d347bus.sys
Функция NtTerminateProcess (E0) перехвачена (804E32CC->BE7F3D06), перехватчик C:\WINNT\system32\Drivers\klif.sys
Проверено функций: 248, перехвачено: 15, восстановлено: 0
попробуйте найти вот эти файлы в ручную
C:\WINNT\ServicePackFiles\32473722.dll
C:\WINNT\ServicePackFiles\services.exe
C:\WINNT\system32\kzymfnc.dll
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
если найдёте в архив и с паролем тудаже куда и раньше
попробуйте найти вот эти файлы в ручную
C:\WINNT\ServicePackFiles\32473722.dll
C:\WINNT\ServicePackFiles\services.exe
C:\WINNT\system32\kzymfnc.dll
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
если найдёте в архив и с паролем тудаже куда и раньше
Причем в последнем случае файл назывался SERVICES.EXE (большими буквами). Все 3 экземпляра запаковал с паролем и выслал.
Других файлов из вашего списка не нешел.
В Hijackthis 3 айтема пофиксил, прикрепляю новый лог.
Ха, не тут-то было.
Все вроде шло нормально, но ночью Касперский попытался скачать свои обновления, и не смог... Запуск обновления вручную привел к тому, что Касперский выключился и все попытки его запустить ни к чему не привели. Так что, по всей видимости, не вся зараза еще искоренена.
Единственные действия, которые я перед этим делал - это записал один DVD-диск и скачал почту с помощью TheBat.
Утром снова запустил AVZ на сканирование и лечение, результаты пришлю вечером.
А мне в логе HijackThis не понравилась строчка:
O4 - HKLM\..\Run: [xp_system] C:\WINNT\ServicePackFiles\services.exe
Виноват, проглядел. Ее тоже надо фиксить.
c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe - Trojan.Win32.KillAV.jr
В крайнем логе AVZ его уже не было. Возможно, в системе есть дыры, через которые он проникает.
Скачайте Microsoft Baseline Security Analyzer v2.0.1 и проверьте компьютер.
Обновите базу AVZ и сделайте в нем оба лога.
c:\docume~1\9335~1\locals~1\temp\1076\explorer.exe - Trojan.Win32.KillAV.jr
В крайнем логе AVZ его уже не было. Возможно, в системе есть дыры, через которые он проникает.
Скачайте Microsoft Baseline Security Analyzer v2.0.1 и проверьте компьютер.
Обновите базу AVZ и сделайте в нем оба лога.
В hijackthis указанную строчку пофиксил и перезгрузился.
Security Analyzer скачал и просканировал. Выявил отсутствие патча KB832483, патч скачал вручную и установил, правда Windows Update почему-то всё равно ругается, что этот патч не установлен, хотя я его уже устанавливал раза три. После повторного прогона MS Security Analyzer сказал, что все патчи стоят. После этого, отключил предупреждение Windows update об отсутствии этого патча.
Также SecurityAnalyzer ругался на параметр "RestrictAnonymous" в реестре. Я этот парамет исправил с 0 на 2 как там было сказано.
Остальные предупреждения он выдал по мелочи - (бесконечная жизнь паролей, отсутствие файрвола и т.п.)
Плохо то, что Касперский при обновлении почему-то не скачал ни одного файла. И еще перестал работать сканер Касперского - говорит "файл программы поврежден или другое нарушение безопасности". Придется переустанавливать, я правильно понимаю?
AVZ обновил базы, просканировал.
Попали в карантин два файла, похоже как раз эти самые патчи Microsoft. Файлы из карантина закачал на сайт. Высылаю также все свежие логи.
И еще перестал работать сканер Касперского - говорит "файл программы поврежден или другое нарушение безопасности". Придется переустанавливать, я правильно понимаю?
Да.
В AVZ меню Сервис - Менеджер автозапуска. Удалите строки, ссылающиеся на файл:
C:\WINNT\ServicePackFiles\services.exe
(именно с таким полными путем)
Попали в карантин два файла, похоже как раз эти самые патчи Microsoft. Файлы из карантина закачал на сайт.
Этого делать не стоило. Присылайте те файлы, которые запрашивают или явно подозрительные.
В логах не увидел подозрительных файлов.
Однако, много не известных AVZ, так что выполните, процедуру описанную здесь: http://virusinfo.info/showthread.php?t=3519
Не забудьте при этом закрыть все программы, которые вы запустили сами и антивирус Касперского выгрузите, на время.
В AVZ меню Сервис - Менеджер автозапуска. Удалите строки, ссылающиеся на файл:
C:\WINNT\ServicePackFiles\services.exe
(именно с таким полными путем)
3 соответствующих строки удалил. Правда из рееста через AVZ удалить не удалось, пришлось удалять через regedit.
Этого делать не стоило. Присылайте те файлы, которые запрашивают или явно подозрительные.
Ну я ж не знаю точно, может они уже успели заразиться? В следующий раз буду высылать только запрошенные.
В логах не увидел подозрительных файлов.
Однако, много не известных AVZ, так что выполните, процедуру описанную здесь: http://virusinfo.info/showthread.php?t=3519
Не забудьте при этом закрыть все программы, которые вы запустили сами и антивирус Касперского выгрузите, на время.
Сделал.
Файл 070401_104937_virusinfo_files_CELERON300_460f56018 425c.zip
Размер файла 5387923
MD5 dec7c4c43a1e921d599f7f18a95330f8
Жду вердикта
Уважаемый(ая) Katalizator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: