Одинокий Дракон 0 Опубликовано 31 августа, 2009 Share Опубликовано 31 августа, 2009 в трее белый крест в красном круге ругается, что нашел вирус, и говорит чтобы я счелкнул на него для сканирования нод32 ругается на agp440.sys в папке систем32\драйверс, но сделать ничего к сожалению не может. Этот же файл грузиться в безопастном режиме (видно в протоколе загрузке) логи прилогаються hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 31 августа, 2009 Share Опубликовано 31 августа, 2009 (изменено) Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\beard44.BEARD\mset.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\Documents and Settings\beard44.BEARD\mset.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите. Пофиксите в hijack O4 - HKLM\..\Run: [mset] C:\WINDOWS\system32\mset.exe O14 - IERESET.INF: START_PAGE_URL=http://lynx.beard.local:81 Новые логи сделайте. Замените по этой методике http://virusinfo.info/showthread.php?t=51654 файлы C:\WINDOWS\system32\Drivers\Ntfs.sys, C:\WINDOWS\system32\Drivers\Beep.sys Изменено 31 августа, 2009 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 августа, 2009 Share Опубликовано 31 августа, 2009 1. Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\agp440.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\rtifdh.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('c:\documents and settings\beard44.beard\mset.exe',''); TerminateProcessByName('c:\documents and settings\beard44.beard\mset.exe'); TerminateProcessByName('c:\windows\system32\mset.exe'); QuarantineFile('c:\windows\system32\mset.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('c:\windows\system32\mset.exe'); DeleteFile('c:\documents and settings\beard44.beard\mset.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mset'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. 2. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. 3. Файл C:\WINDOWS\system32\Drivers\ntfs.sys заражен, его нужно заменить на чистый из дистрибутива: - Загрузитесь в консоли восстановления - На приглашение введите строку: copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления командой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения написанного в п. 3 4. Сделайте новые логи 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Одинокий Дракон 0 Опубликовано 2 сентября, 2009 Автор Share Опубликовано 2 сентября, 2009 (изменено) выполнил все действия, но письмо с касперского не вернулось. сделал п.3 с заменой файла в режиме отладки, пересканировал, пытаюсь выложить новые логи и форум пишет: Неудачная загрузка. Необходимо проверить настройки и права доступа. Пожалуйста, сообщите об этом администрации. http://narod.ru/disk/12720073000/virusinfo_syscure.zip.html http://narod.ru/disk/12720071000/virusinfo_syscheck.zip.html http://narod.ru/disk/12720070000/hijackthis.log.html Изменено 2 сентября, 2009 пользователем Одинокий Дракон Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 сентября, 2009 Share Опубликовано 2 сентября, 2009 C:\WINDOWS\system32\DRIVERS\agp440.sys C:\WINDOWS\system32\drivers\rtifdh.sys Проверьте на virustotal Ссылки на результат проверки сообщите Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); TerminateProcessByName('c:\windows\temp\bn10.tmp'); QuarantineFile('c:\windows\temp\bn10.tmp',''); DeleteFile('c:\windows\temp\bn10.tmp'); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Одинокий Дракон 0 Опубликовано 2 сентября, 2009 Автор Share Опубликовано 2 сентября, 2009 agp440.sys : Файл agp440.sys получен 2009.09.02 10:06:36 (UTC) Текущий статус: закончено Результат: 22/41 (53.66%) Форматированные Печать результатов Антивирус Версия Обновление Результат a-squared 4.5.0.24 2009.09.02 Virus.Win32.Cutwail!IK AhnLab-V3 5.0.0.2 2009.09.02 - AntiVir 7.9.1.7 2009.09.02 SPR/Tool.Cutwail.L.14 Antiy-AVL 2.0.3.7 2009.09.02 - Authentium 5.1.2.4 2009.09.02 - Avast 4.8.1335.0 2009.09.01 Win32:Cutwail AVG 8.5.0.406 2009.09.02 Generic14.ADYJ BitDefender 7.2 2009.09.02 Rootkit.Kobcka.Patched.Gen CAT-QuickHeal 10.00 2009.09.02 - ClamAV 0.94.1 2009.09.02 - Comodo 2174 2009.09.02 - DrWeb 5.0.0.12182 2009.09.02 - eSafe 7.0.17.0 2009.09.01 - eTrust-Vet 31.6.6716 2009.09.02 Win32/Cutwail.ATB F-Prot 4.5.1.85 2009.09.01 - F-Secure 8.0.14470.0 2009.09.02 - Fortinet 3.120.0.0 2009.09.02 W32/Cutwail.E!tr GData 19 2009.09.02 Rootkit.Kobcka.Patched.Gen Ikarus T3.1.1.68.0 2009.09.02 Virus.Win32.Cutwail Jiangmin 11.0.800 2009.09.02 - K7AntiVirus 7.10.833 2009.09.01 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.09.02 - McAfee 5727 2009.09.01 Cutwail.gen.e McAfee+Artemis 5727 2009.09.01 Cutwail.gen.e McAfee-GW-Edition 6.8.5 2009.09.02 Riskware.Tool.Cutwail.L.14 Microsoft 1.5005 2009.09.02 Virus:Win32/Cutwail.G NOD32 4388 2009.09.02 Win32/Wigon.LZ Norman 2009.09.01 W32/Rootkit.ATJD nProtect 2009.1.8.0 2009.09.02 Trojan/W32.Agent.94016 Panda 10.0.2.2 2009.09.02 Trj/CI.A PCTools 4.4.2.0 2009.08.31 - Prevx 3.0 2009.09.02 High Risk System Back Door Rising 21.45.14.00 2009.09.01 - Sophos 4.45.0 2009.09.02 Mal/Generic-A Sunbelt 3.2.1858.2 2009.09.01 - Symantec 1.4.4.12 2009.09.02 - TheHacker 6.3.4.3.395 2009.09.02 - TrendMicro 8.950.0.1094 2009.09.02 - VBA32 3.12.10.10 2009.09.01 - ViRobot 2009.9.2.1914 2009.09.02 Win32.Mntfs.A VirusBuster 4.6.5.0 2009.09.01 Win32.Protector.CV Дополнительная информация File size: 94016 bytes MD5 : f1969286e57819c2c4e77c6b074763ce SHA1 : 87face677982d9a9ead2d18292336cf14778b59f SHA256: 459be743b2d980a8a7f041159b2cc7e0be8cec925772207aa5113b55858858eb PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xED1 timedatestamp.....: 0x4A94914D (Wed Aug 26 03:35:09 2009) machinetype.......: 0x14C (Intel I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x220 0xD4F 0xD60 5.99 7e9151baddc33093f935e692db7fe3c4 .data 0xF80 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533 .reloc 0xFA0 0x15FA0 0x15FA0 6.04 db48eb085f8cd520d5cb028c5629986b ( 0 imports ) ( 0 exports ) TrID : File type identification Generic Win/DOS Executable (49.5%) DOS Executable Generic (49.5%) VXD Driver (0.7%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) ssdeep: 1536:JM/YdwcVIzmTLlY6AbALiNBryARGOB/BycYDx:JlTISTLlh6tjB/RYDx Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=CEACF98140994AFF6F7201DEF1D6CB00CA291796 PEiD : - RDS : NSRL Reference Data Set - rtifdh.sys: Файл rtifdh.sys получен 2009.09.02 10:10:20 (UTC) Текущий статус: закончено Результат: 0/41 (0.00%) Форматированные Печать результатов Антивирус Версия Обновление Результат a-squared 4.5.0.24 2009.09.02 - AhnLab-V3 5.0.0.2 2009.09.02 - AntiVir 7.9.1.7 2009.09.02 - Antiy-AVL 2.0.3.7 2009.09.02 - Authentium 5.1.2.4 2009.09.02 - Avast 4.8.1335.0 2009.09.01 - AVG 8.5.0.406 2009.09.02 - BitDefender 7.2 2009.09.02 - CAT-QuickHeal 10.00 2009.09.02 - ClamAV 0.94.1 2009.09.02 - Comodo 2173 2009.09.02 - DrWeb 5.0.0.12182 2009.09.02 - eSafe 7.0.17.0 2009.09.01 - eTrust-Vet 31.6.6716 2009.09.02 - F-Prot 4.5.1.85 2009.09.01 - F-Secure 8.0.14470.0 2009.09.02 - Fortinet 3.120.0.0 2009.09.02 - GData 19 2009.09.02 - Ikarus T3.1.1.68.0 2009.09.02 - Jiangmin 11.0.800 2009.09.02 - K7AntiVirus 7.10.833 2009.09.01 - Kaspersky 7.0.0.125 2009.09.02 - McAfee 5727 2009.09.01 - McAfee+Artemis 5727 2009.09.01 - McAfee-GW-Edition 6.8.5 2009.09.02 - Microsoft 1.5005 2009.09.02 - NOD32 4388 2009.09.02 - Norman 2009.09.01 - nProtect 2009.1.8.0 2009.09.02 - Panda 10.0.2.2 2009.09.02 - PCTools 4.4.2.0 2009.08.31 - Prevx 3.0 2009.09.02 - Rising 21.45.14.00 2009.09.01 - Sophos 4.45.0 2009.09.02 - Sunbelt 3.2.1858.2 2009.09.01 - Symantec 1.4.4.12 2009.09.02 - TheHacker 6.3.4.3.395 2009.09.02 - TrendMicro 8.950.0.1094 2009.09.02 - VBA32 3.12.10.10 2009.09.01 - ViRobot 2009.9.2.1914 2009.09.02 - VirusBuster 4.6.5.0 2009.09.01 - Дополнительная информация File size: 8864 bytes MD5 : 5c8657e5a53518fa0204442022fcf597 SHA1 : e44f39342579a8968edfd3f670bfc27c71853c1c SHA256: ed0e41f9d23eb516f62d386d795611127bc77f9c735ed9823ebc9c54faf673bc PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x74A timedatestamp.....: 0x4333C0B7 (Fri Sep 23 10:45:43 2005) machinetype.......: 0x14C (Intel I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x2A0 0x118D 0x11A0 6.12 e6b2f3fe0f6f547a06eff0591931d01a .data 0x1440 0x28 0x40 0.46 25cfe8cc2ac591ab0687dfcad0ada229 INIT 0x1480 0x4DC 0x4E0 5.03 cadd47bbbf487872a59efbcb2f681486 .rsrc 0x1960 0x3F0 0x400 3.23 5fc3b53b700149ffe8c5c52a4e751d49 .reloc 0x1D60 0x1A4 0x1C0 3.69 00b75b1e2f4bfe632342438521810838 ( 3 imports ) > hal.dll: KfAcquireSpinLock, KfReleaseSpinLock > ntoskrnl.exe: InterlockedExchange, IoAcquireCancelSpinLock, KeSetEvent, InterlockedDecrement, ExFreePool, IoReleaseCancelSpinLock, ZwQueryValueKey, RtlInitUnicodeString, ZwOpenKey, IoIsWdmVersionAvailable, IofCallDriver, IofCompleteRequest, InterlockedIncrement, ZwClose, PoCallDriver, PoStartNextPowerIrp, KeWaitForSingleObject, KeInitializeEvent, IoSetDeviceInterfaceState, ExAllocatePoolWithTag, IoDeleteSymbolicLink, RtlFreeUnicodeString, IoDetachDevice, IoCreateSymbolicLink, RtlCopyUnicodeString, IoAttachDeviceToDeviceStack, IoRegisterDeviceInterface, KeInitializeSpinLock, IoCreateDevice, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, IoAllocateDriverObjectExtension, IoGetDriverObjectExtension, IoDeleteDevice > smclib.sys: SmartcardT0Reply, SmartcardT0Request, SmartcardDeviceControl, SmartcardExit, SmartcardInitialize, SmartcardUpdateCardCapabilities ( 0 exports ) TrID : File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) ssdeep: 96:6m04+OYw8L5rO+/C+TrPL91GvmM2JFZd9dUIOVpp6zcmhey/UC5fdQ5p7t0kVyZt:6H4FhJUXDMI59dWS6NKSp7W PEiD : - RDS : NSRL Reference Data Set Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 сентября, 2009 Share Опубликовано 2 сентября, 2009 (изменено) Делайте новые логи и попытайтесь выложить их на форуме. Изменено 2 сентября, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
Одинокий Дракон 0 Опубликовано 2 сентября, 2009 Автор Share Опубликовано 2 сентября, 2009 с касперского письмо так и не вернулось (с разных адресов пробывал послать, никуда не вернулось) логи приложил hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 сентября, 2009 Share Опубликовано 2 сентября, 2009 (изменено) Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\temp\bn36.tmp'); QuarantineFile('c:\windows\temp\bn36.tmp',''); DeleteFile('c:\windows\temp\bn36.tmp'); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); SetServiceStart('agp440', 4); DeleteService('agp440'); QuarantineFile('C:\WINDOWS\system32\Drivers\agp440.sys',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); TerminateProcessByName('c:\windows\temp\bna.tmp'); QuarantineFile('c:\windows\temp\bna.tmp',''); DeleteFile('c:\windows\temp\bna.tmp'); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\agp440.sys'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Изменено 2 сентября, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
Одинокий Дракон 0 Опубликовано 2 сентября, 2009 Автор Share Опубликовано 2 сентября, 2009 письма и касперского не возвращаются (если должны конечно?) : ( log files virusinfo_syscure.zip hijackthis.txt virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 2 сентября, 2009 Share Опубликовано 2 сентября, 2009 Кто sp3 будет ставить ? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 сентября, 2009 Share Опубликовано 2 сентября, 2009 (изменено) В логах ничего подозрительного. Что с проблемой? Ответ из вирлаба когда-нибудь придет. Ожидайте. Изменено 2 сентября, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
Одинокий Дракон 0 Опубликовано 2 сентября, 2009 Автор Share Опубликовано 2 сентября, 2009 Какой сп3, этот комп на помойку давно нужно... thyrex, как буд-то тишина, все работает, ничего не выпрыгивает, не ругается. СПАСИБО ОГРОМНОЕ! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.