Вирус в трее [ОК]

[Одинокий Дракон]

в трее белый крест в красном круге ругается, что нашел вирус, и говорит чтобы я счелкнул на него для сканирования

 

нод32 ругается на agp440.sys в папке систем32\драйверс, но сделать ничего к сожалению не может.

Этот же файл грузиться в безопастном режиме (видно в протоколе загрузке)

 

логи прилогаються

hijackthis.logПолучение информации...

virusinfo_syscure.zipПолучение информации...

virusinfo_syscheck.zipПолучение информации...

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\beard44.BEARD\mset.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\Documents and Settings\beard44.BEARD\mset.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

Пофиксите в hijack

O4 - HKLM\..\Run: [mset] C:\WINDOWS\system32\mset.exe
O14 - IERESET.INF: START_PAGE_URL=http://lynx.beard.local:81

 

Новые логи сделайте.

 

Замените по этой методике http://virusinfo.info/showthread.php?t=51654 файлы C:\WINDOWS\system32\Drivers\Ntfs.sys, C:\WINDOWS\system32\Drivers\Beep.sys

Изменено 31 августа, 2009 пользователем snifer67

[thyrex]

1. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\agp440.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\rtifdh.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('c:\documents and settings\beard44.beard\mset.exe','');
TerminateProcessByName('c:\documents and settings\beard44.beard\mset.exe');
TerminateProcessByName('c:\windows\system32\mset.exe');
QuarantineFile('c:\windows\system32\mset.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('c:\windows\system32\mset.exe');
DeleteFile('c:\documents and settings\beard44.beard\mset.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mset');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

3. Файл C:\WINDOWS\system32\Drivers\ntfs.sys заражен, его нужно заменить на чистый из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения написанного в п. 3

 

4. Сделайте новые логи

[Одинокий Дракон]

выполнил все действия, но письмо с касперского не вернулось. сделал п.3 с заменой файла в режиме отладки, пересканировал, пытаюсь выложить новые логи и форум пишет:

  Цитата

Неудачная загрузка. Необходимо проверить настройки и права доступа. Пожалуйста, сообщите об этом администрации.

 

http://narod.ru/disk/12720073000/virusinfo_syscure.zip.html

 

http://narod.ru/disk/12720071000/virusinfo_syscheck.zip.html

 

http://narod.ru/disk/12720070000/hijackthis.log.html

Изменено 2 сентября, 2009 пользователем Одинокий Дракон

[thyrex]

C:\WINDOWS\system32\DRIVERS\agp440.sys
C:\WINDOWS\system32\drivers\rtifdh.sys

Проверьте на virustotal Ссылки на результат проверки сообщите

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
TerminateProcessByName('c:\windows\temp\bn10.tmp');
QuarantineFile('c:\windows\temp\bn10.tmp','');
DeleteFile('c:\windows\temp\bn10.tmp');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

[Одинокий Дракон]

agp440.sys :

  Показать контент

Файл agp440.sys получен 2009.09.02 10:06:36 (UTC)
Текущий статус: закончено 

Результат: 22/41 (53.66%)
Форматированные Печать результатов  
Антивирус Версия Обновление Результат 
a-squared 4.5.0.24 2009.09.02 Virus.Win32.Cutwail!IK 
AhnLab-V3 5.0.0.2 2009.09.02 - 
AntiVir 7.9.1.7 2009.09.02 SPR/Tool.Cutwail.L.14 
Antiy-AVL 2.0.3.7 2009.09.02 - 
Authentium 5.1.2.4 2009.09.02 - 
Avast 4.8.1335.0 2009.09.01 Win32:Cutwail 
AVG 8.5.0.406 2009.09.02 Generic14.ADYJ 
BitDefender 7.2 2009.09.02 Rootkit.Kobcka.Patched.Gen 
CAT-QuickHeal 10.00 2009.09.02 - 
ClamAV 0.94.1 2009.09.02 - 
Comodo 2174 2009.09.02 - 
DrWeb 5.0.0.12182 2009.09.02 - 
eSafe 7.0.17.0 2009.09.01 - 
eTrust-Vet 31.6.6716 2009.09.02 Win32/Cutwail.ATB 
F-Prot 4.5.1.85 2009.09.01 - 
F-Secure 8.0.14470.0 2009.09.02 - 
Fortinet 3.120.0.0 2009.09.02 W32/Cutwail.E!tr 
GData 19 2009.09.02 Rootkit.Kobcka.Patched.Gen 
Ikarus T3.1.1.68.0 2009.09.02 Virus.Win32.Cutwail 
Jiangmin 11.0.800 2009.09.02 - 
K7AntiVirus 7.10.833 2009.09.01 Trojan.Win32.Malware.1 
Kaspersky 7.0.0.125 2009.09.02 - 
McAfee 5727 2009.09.01 Cutwail.gen.e 
McAfee+Artemis 5727 2009.09.01 Cutwail.gen.e 
McAfee-GW-Edition 6.8.5 2009.09.02 Riskware.Tool.Cutwail.L.14 
Microsoft 1.5005 2009.09.02 Virus:Win32/Cutwail.G 
NOD32 4388 2009.09.02 Win32/Wigon.LZ 
Norman  2009.09.01 W32/Rootkit.ATJD 
nProtect 2009.1.8.0 2009.09.02 Trojan/W32.Agent.94016 
Panda 10.0.2.2 2009.09.02 Trj/CI.A 
PCTools 4.4.2.0 2009.08.31 - 
Prevx 3.0 2009.09.02 High Risk System Back Door 
Rising 21.45.14.00 2009.09.01 - 
Sophos 4.45.0 2009.09.02 Mal/Generic-A 
Sunbelt 3.2.1858.2 2009.09.01 - 
Symantec 1.4.4.12 2009.09.02 - 
TheHacker 6.3.4.3.395 2009.09.02 - 
TrendMicro 8.950.0.1094 2009.09.02 - 
VBA32 3.12.10.10 2009.09.01 - 
ViRobot 2009.9.2.1914 2009.09.02 Win32.Mntfs.A 
VirusBuster 4.6.5.0 2009.09.01 Win32.Protector.CV 
Дополнительная информация 
File size: 94016 bytes 
MD5   : f1969286e57819c2c4e77c6b074763ce 
SHA1  : 87face677982d9a9ead2d18292336cf14778b59f 
SHA256: 459be743b2d980a8a7f041159b2cc7e0be8cec925772207aa5113b55858858eb 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xED1
timedatestamp.....: 0x4A94914D (Wed Aug 26 03:35:09 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x220 0xD4F 0xD60 5.99 7e9151baddc33093f935e692db7fe3c4
.data 0xF80 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533
.reloc 0xFA0 0x15FA0 0x15FA0 6.04 db48eb085f8cd520d5cb028c5629986b

( 0 imports )


( 0 exports )

TrID  : File type identification
Generic Win/DOS Executable (49.5%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
ssdeep: 1536:JM/YdwcVIzmTLlY6AbALiNBryARGOB/BycYDx:JlTISTLlh6tjB/RYDx 
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=CEACF98140994AFF6F7201DEF1D6CB00CA291796 
PEiD  : - 
RDS   : NSRL Reference Data Set
-

 

 

rtifdh.sys:

  Показать контент

Файл rtifdh.sys получен 2009.09.02 10:10:20 (UTC)
Текущий статус: закончено 

Результат: 0/41 (0.00%)
Форматированные Печать результатов  
Антивирус Версия Обновление Результат 
a-squared 4.5.0.24 2009.09.02 - 
AhnLab-V3 5.0.0.2 2009.09.02 - 
AntiVir 7.9.1.7 2009.09.02 - 
Antiy-AVL 2.0.3.7 2009.09.02 - 
Authentium 5.1.2.4 2009.09.02 - 
Avast 4.8.1335.0 2009.09.01 - 
AVG 8.5.0.406 2009.09.02 - 
BitDefender 7.2 2009.09.02 - 
CAT-QuickHeal 10.00 2009.09.02 - 
ClamAV 0.94.1 2009.09.02 - 
Comodo 2173 2009.09.02 - 
DrWeb 5.0.0.12182 2009.09.02 - 
eSafe 7.0.17.0 2009.09.01 - 
eTrust-Vet 31.6.6716 2009.09.02 - 
F-Prot 4.5.1.85 2009.09.01 - 
F-Secure 8.0.14470.0 2009.09.02 - 
Fortinet 3.120.0.0 2009.09.02 - 
GData 19 2009.09.02 - 
Ikarus T3.1.1.68.0 2009.09.02 - 
Jiangmin 11.0.800 2009.09.02 - 
K7AntiVirus 7.10.833 2009.09.01 - 
Kaspersky 7.0.0.125 2009.09.02 - 
McAfee 5727 2009.09.01 - 
McAfee+Artemis 5727 2009.09.01 - 
McAfee-GW-Edition 6.8.5 2009.09.02 - 
Microsoft 1.5005 2009.09.02 - 
NOD32 4388 2009.09.02 - 
Norman  2009.09.01 - 
nProtect 2009.1.8.0 2009.09.02 - 
Panda 10.0.2.2 2009.09.02 - 
PCTools 4.4.2.0 2009.08.31 - 
Prevx 3.0 2009.09.02 - 
Rising 21.45.14.00 2009.09.01 - 
Sophos 4.45.0 2009.09.02 - 
Sunbelt 3.2.1858.2 2009.09.01 - 
Symantec 1.4.4.12 2009.09.02 - 
TheHacker 6.3.4.3.395 2009.09.02 - 
TrendMicro 8.950.0.1094 2009.09.02 - 
VBA32 3.12.10.10 2009.09.01 - 
ViRobot 2009.9.2.1914 2009.09.02 - 
VirusBuster 4.6.5.0 2009.09.01 - 
Дополнительная информация 
File size: 8864 bytes 
MD5   : 5c8657e5a53518fa0204442022fcf597 
SHA1  : e44f39342579a8968edfd3f670bfc27c71853c1c 
SHA256: ed0e41f9d23eb516f62d386d795611127bc77f9c735ed9823ebc9c54faf673bc 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x74A
timedatestamp.....: 0x4333C0B7 (Fri Sep 23 10:45:43 2005)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2A0 0x118D 0x11A0 6.12 e6b2f3fe0f6f547a06eff0591931d01a
.data 0x1440 0x28 0x40 0.46 25cfe8cc2ac591ab0687dfcad0ada229
INIT 0x1480 0x4DC 0x4E0 5.03 cadd47bbbf487872a59efbcb2f681486
.rsrc 0x1960 0x3F0 0x400 3.23 5fc3b53b700149ffe8c5c52a4e751d49
.reloc 0x1D60 0x1A4 0x1C0 3.69 00b75b1e2f4bfe632342438521810838

( 3 imports )

> hal.dll: KfAcquireSpinLock, KfReleaseSpinLock
> ntoskrnl.exe: InterlockedExchange, IoAcquireCancelSpinLock, KeSetEvent, InterlockedDecrement, ExFreePool, IoReleaseCancelSpinLock, ZwQueryValueKey, RtlInitUnicodeString, ZwOpenKey, IoIsWdmVersionAvailable, IofCallDriver, IofCompleteRequest, InterlockedIncrement, ZwClose, PoCallDriver, PoStartNextPowerIrp, KeWaitForSingleObject, KeInitializeEvent, IoSetDeviceInterfaceState, ExAllocatePoolWithTag, IoDeleteSymbolicLink, RtlFreeUnicodeString, IoDetachDevice, IoCreateSymbolicLink, RtlCopyUnicodeString, IoAttachDeviceToDeviceStack, IoRegisterDeviceInterface, KeInitializeSpinLock, IoCreateDevice, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, IoAllocateDriverObjectExtension, IoGetDriverObjectExtension, IoDeleteDevice
> smclib.sys: SmartcardT0Reply, SmartcardT0Request, SmartcardDeviceControl, SmartcardExit, SmartcardInitialize, SmartcardUpdateCardCapabilities

( 0 exports )

TrID  : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
ssdeep: 96:6m04+OYw8L5rO+/C+TrPL91GvmM2JFZd9dUIOVpp6zcmhey/UC5fdQ5p7t0kVyZt:6H4FhJUXDMI59dWS6NKSp7W 
PEiD  : - 
RDS   : NSRL Reference Data Set

 

[thyrex]

Делайте новые логи и попытайтесь выложить их на форуме.

Изменено 2 сентября, 2009 пользователем thyrex

[Одинокий Дракон]

с касперского письмо так и не вернулось (с разных адресов пробывал послать, никуда не вернулось)

 

логи приложил

hijackthis.logПолучение информации...

virusinfo_syscure.zipПолучение информации...

virusinfo_syscheck.zipПолучение информации...

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\bn36.tmp');
QuarantineFile('c:\windows\temp\bn36.tmp','');
DeleteFile('c:\windows\temp\bn36.tmp');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
SetServiceStart('agp440', 4);
DeleteService('agp440');
QuarantineFile('C:\WINDOWS\system32\Drivers\agp440.sys','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
TerminateProcessByName('c:\windows\temp\bna.tmp');
QuarantineFile('c:\windows\temp\bna.tmp','');
DeleteFile('c:\windows\temp\bna.tmp');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\agp440.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Изменено 2 сентября, 2009 пользователем thyrex

[Одинокий Дракон]

письма и касперского не возвращаются (если должны конечно?) : (

log files

virusinfo_syscure.zipПолучение информации...

hijackthis.txtПолучение информации...

virusinfo_syscheck.zipПолучение информации...

[snifer67]

Кто sp3 будет ставить ?

[thyrex]

В логах ничего подозрительного. Что с проблемой?

 

Ответ из вирлаба когда-нибудь придет. Ожидайте.

Изменено 2 сентября, 2009 пользователем thyrex

[Одинокий Дракон]

Какой сп3, этот комп на помойку давно нужно...

 

thyrex, как буд-то тишина, все работает, ничего не выпрыгивает, не ругается.

СПАСИБО ОГРОМНОЕ!