Последствия работы вируса

[Lvrn]

Компьютер был заражен вирусом (а может и сейчас под ним) Trojan.Win32.FraudPack.xwl

После перезагрузки (одной, несколько?) стало вылазить окошко:

lsass.exe - Ошибка приложения

Инструкция по адресу "0х00000000 обратилась к памяти по адресу "0х00000000". Память не может быть "written".

"ОК" -- завершение приложения

"Отмена" -- отладка приложения

При нажатии на ОК или Отмена - ситема обнаруживает внезапное завершение работы системного файла и глушит систему через 60 сек.

Если сдвинуть окно с ошибкой в сторону, то можно работать

 

Как устранить эту ошибку?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Выполните скрипт в avz

begin
QuarantineFile('C:\WINDOWS\DOWNLO~1\SIPPOI~1.OCX','');
QuarantineFile('C:\WINDOWS\system\msvidc.drv','');
QuarantineFile('C:\WINDOWS\system32\*.drv','');
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Изменено 30 октября, 2009 пользователем snifer67

[Lvrn]

Выполните скрипт в avz

...

ПК перезагрузится.

ПК не перезагрузился.

Выполнена ручная перезагрузка через кнопку ПУСК.

Выполнить скрипт в AVZ.

...

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Ответ из newvirus@kaspersky.com

Здравствуйте,

 

В присланном Вами файле не найдено ничего вредоносного.

 

Новые логи прикрепил.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[rabbit]

ПК не перезагрузился.

скрипт не дописали, имхо.

[snifer67]

Пофиксить в HijackThis

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)

ПК перезагрузите.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Download from Internet\Convertor DjVu to PDF.rar','');
QuarantineFile('C:\WINDOWS\system\msvidc.drv','');
QuarantineFile('C:\WINDOWS\system\iccvid.drv','');
QuarantineFile('C:\WINDOWS\system\MSRLE.drv','');
QuarantineFile('C:\WINDOWS\system32\*.drv','');
DeleteFile('C:\WINDOWS\system32\*.drv');
DeleteFile('C:\WINDOWS\system\msvidc.drv');
DeleteFile('C:\WINDOWS\system\MSRLE.drv');
DeleteFile('C:\WINDOWS\system\iccvid.drv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','WaveMapper');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.MRLE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.CVID');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.MSVC');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Изменено 31 октября, 2009 пользователем snifer67

[Lvrn]

Ответ из newvirus@kaspersky.com

mciqtz.drv

Вредоносный код в файле не обнаружен.

 

Может для ускорения лечения могут быть полезны следующие сведения:

1. Файл с вирусом, который был запущен, до сих пор на компьютере и программой AVZ пока не обнаружен

Здравствуйте,

 

crack.45155.exe - Trojan.Win32.FraudPack.xwl

 

Детектирование файла будет добавлено в следующее обновление.

Этот файл скорее всего заменил (изменил часть кода) системного(-ых) файлов.

И, возможно, файла utorrent, т.к. при его запуске происходит его крах:

uTorrent has crased. A crash dump has been saved as: xxxxx.dmp

How would you like to proceed?

- Just relaunch the application

- Submit this dump to the developers

- Don't relaunch the application or send a crash dump

[OK]

При выборе 1 или 3 варианта (2-й не пробовал) краш-таблица появляется заново.

Выбрасывается только по альт-контрол-дел.

 

Логи прицепить не удалось, т.к. после последней перезагрузки похоже отрубилась Ява -

сломалось оформление форума (видно только в тексте, а не ХТМЛ) и нет кнопок работы с файлами.

Отправлю письмо и попробую запустить Яву.

 

Вот так выглядит форум на моем экране (правая сторона).

Левая - это плазма по HDMI.

http://exfile.ru/64206

 

Прикрепил файлы через файлообменник:

virusinfo_syscure.zip http://turbobit.net/3zg8gkog1nmn.html

virusinfo_syscheck.zip http://turbobit.net/6ihkou7ezw7k.html

hijackthis.log http://turbobit.net/igmqcn615be5.html

[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.

Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Lvrn]

Combofix не смог завершить работу. Лога не появилось.

Картинку завершения combofix прикрепил http://turbobit.net/alpltwxtdegi.html

p.s. АутПост выгрузил, Лису закрыл.

Прогу запускал 2 раза с одинаковым эффектом.

[Vist@]

А новую версию как предлагают на алерте по указанному там адресу пробовали закачать? Компьютер не проверяли CureIt, т.к. очень похоже на файловый вирус?

Изменено 3 ноября, 2009 пользователем Vist@

[thyrex]

Программа выдала подозрение на файловый вирус

 

Скачайте ftp://devbuilds.kaspersky-labs.com/devbui...rescue_2008.iso

Запишите образ на диск и проверьтесь, загрузившись с созданного диска

[Lvrn]

Скачайте ftp://devbuilds.kaspersky-labs.com/devbui...rescue_2008.iso

Запишите образ на диск и проверьтесь, загрузившись с созданного диска

Диск касперского не помог, хотя обновил базы из интернета и нашел среди файлов, скачанных давно и неиспользовавшихся, один вирус.

Решение нашлось среди просторов сети - http://virusinfo.info/showpost.php?p=114778&postcount=1

Программа WinSockFix убрала злощастную ошибку lsass

Правда при этом сбились все настройки сети - IP-адрес, DNS-сервера, работа CFosSpeed.

Но все это было настроить делов на 5 мин.

Всем большое спасибо за участие!