Подозрение на вирусную активность [OK]

[DaTa]

Седня смотрю один комп и вот что заметил: explorer.exe в тупую не хочет запускатся, только после переименования в какое либо другое название. Пришлось прописать в HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell;

 

незнаю в логах Хиджака вроде бы ничего подозрительного не увидел. В Авз подозрение на руткит файла sptd.sys - проверил на Тотале - чист как стёклышко.

hijackthis.log

virusinfo_syscure.zip

[Jen94]

в логах Хиджака вроде бы ничего подозрительного не увидел

что это?

H:\temp\1.exe

[DaTa]

Хиджак Чтобы другие не поймали

[Falcon]

Это что - C:\WINDOWS\1.exe ?

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',' ');
QuarantineFile('C:\WINDOWS\1.exe',' ');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполните:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

И сделайте новый комплект логов.

[DaTa]

Это что - C:\WINDOWS\1.exe ?

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',' ');
QuarantineFile('C:\WINDOWS\1.exe',' ');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполните:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

И сделайте новый комплект логов.

 

Пасибо Но файл 1.ехе в папке с ВИндою это и есть переименованый мною експлорер(напомню что файл с оригинальным именем не хочет запускатся, просто пишет что файл explorer.exe не найден). Щас убью заразу в комонах... Скоро вернусь с логами

 

 

Вот новый комплект логов. Да кстати после выполнения первой части скрипта, когда АВЗ хотел делать карантин, файл C:\windows\system32\drivers\vdqynduz.sys убил ESET Smart Security эвристикой, предварительно поместив его в карантин. Если нужно файл могу выслать.

Да explorer.exe уже запускается с оригинального имени.

 

По моему это все?

virusinfo_syscure.zip

virusinfo_syscheck.zip

[thyrex]

C:\windows\system32\drivers\vdqynduz.sys - это драйвер AVZ

 

В логах порядок

 

Выполнить скрипт

 begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Компьютер перезагрузится.

[Falcon]

Отладчик проводника удалили, жалобы есть?

[DaTa]

ДА с тем компом все чисто. Но вот незадача, дал вчера знакомому поискать в интернете книги, которые ему для учебы нужны, а он подхватил мне один из AdLoad'еров. Постоянно выводиться окно которое невозможно убить, с рекламой секс-шопов. Логи АВЗ предоставить немогу, так как при сканировании система вылетает в BSOD. Что делать не подскажете? Просто первый раз при включеном Касперским у меня на компе активный вредонос

 

Malware Bytes - нашел руткит BAggle - вроде удалил, попросил перезагрузки, а окно все равно появляется.

Gmer - при сканировании просто вылетает, просканировать невозможно.

 

Какие еще будут варианты?

Вот лог MBAM.

mbam_log_2009_06_12__10_36_32_.txt

Изменено 12 июня, 2009 пользователем DaTa

[Falcon]

Попробуйте сделать логи с помощью полиморфного AVZ.

[DaTa]

Попробуйте сделать логи с помощью полиморфного AVZ.

При сканировании полиморфным АВЗ, касперского отключать?

[Falcon]

Да.

[DaTa]

Да.

Касперского не успел отключить, но попытка успешно провалилась. У меня в АВЗ есть включеный AVZPM, нашел 2 руткита, но стандартно на 3-ей стадии "Сканирование дисков" - BSOD. Попробовать теперь вырубить чето еще?

 

Вот лог GMER

Лог Хиджака

 

Ах да при проверке полиморфным Авз, на стадии проверки Keyloger'ов, програма завершает работу с каким то неопределенным исключением(External Exception C00000D1). Логов выложыть немогу. Попробую зделать лог при помощи GetSystemInfo.

3xjrvgdt.log

hijackthis.log

Изменено 12 июня, 2009 пользователем DaTa

[thyrex]

Попробуйте сделать логи полиморфным AVZ с ключом AM=Y.

Если не получится - попробуйте сделать логи в безопасном режиме.

 

Лог gmer после нажатия на кнопку Scan? Если нет - попробуйте переделать (не получится в нормальном режиме, тогда тоже в безопасном)

[DaTa]

Попробуйте сделать логи полиморфным AVZ с ключом AM=Y.

Если не получится - попробуйте сделать логи в безопасном режиме.

 

Лог gmer после нажатия на кнопку Scan? Если нет - попробуйте переделать (не получится в нормальном режиме, тогда тоже в безопасном)

ДА это лог Gmer после кнопки Scan.

Как запустить полиморфный авз с ключиком AM=Y ? Через командную строку типо: game.pif /AM=Y ?

 

Ссылка на GetSysInfoParser: http://www.getsysteminfo.com/read.php?file...7f062491b959d24

Изменено 12 июня, 2009 пользователем DaTa

[ТроПа]

DaTa, какие антивирусные продукты установленны на данном компьтере и какие были раньше?