Нужна помощь

[terra]

Начну по порядку.

Уже второй день выскакивает таблица об угрозе Win32/rootkit.Agent.NIJ троян а именно как в теме http://forum.kasperskyclub.ru/index.php?showtopic=8241

Все время сбои в работе браузера,то неактивны ссылки то не открывает страницы,то вообще сбрасывает все.

Сначала все пыталась сделать как написано было в теме.но видно все таки что то делала не так,некоторые нужные логи не сформировались.

Было обнаружено 3 файла,отправлены в карантин,но табличка так и выскакивает.

Сегодня решила повторить попытку.Установила заново AVZ и HiJackThis все сделала,но опять видно что то не так,опять не хватает файлов virusinfo_syscure.zip нет только virusinfo_syscheck.zip. Далее решила утилитой GetSystemInfo,загрузить не удается для автоматического анализа.Что я делаю не так?

Сейчас попробую загрузить то что есть

[apq]

terra, выполняйте Правила оформления запроса

[terra]

terra, выполняйте Правила оформления запроса

Извините,но я пытаюсь вставить логи,не активна "Обзор",браузер грузится с 10 той попытки.Сейчас попробую вставить

GetSystemInfo_ИРИНА_Иришка_2010_02_22_18_52_22.zip

virusinfo_syscheck.zip

hijackthis.log

 

 

Извините еще раз что нарушаю правила и туплю,это все что у меня получилось.По этим файлам можно что нибудь сказать?

Изменено 22 февраля, 2010 пользователем terra

[Kopeicev]

Выполните скрипт в AVZ:

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\overlapp32.dll','');
DeleteFile('c:\windows\system32\sdra64.exe');
DeleteFile('c:\windows\system32\overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

 

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

 

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html

В описании ситуации укажите "Пароль к архиву: Virus". Укажите свой электронный адрес в соответствующем поле.

---

Сделайте новые логи.

Изменено 22 февраля, 2010 пользователем Kopeicev
Исправил скрипт

[terra]

Выполните скрипт в AVZ:

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\overlapp32.dll','');
DeleteFile('c:\windows\system32\sdra64.exe');
DeleteFile('c:\windows\system32\overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

При выполнении скрипта выскакивает это "Failed to set data for "DisplayName"

[akoK]

Скрипт исправил. Теперь можно выполнять.

 

Для справки:

Использование SetAVZPMStatus(true); в теле скрипта, скорее всего, вызовет появление неизвестного устройства.

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

После этого повторите логи.

[terra]

Повторила что предложил Kopeicev,выскакивает тоже самое,выполнила что предложил AkoK, копм перезагрузился,при запуске браузера и антивируса,выскочило вновь окно с угрозой.

Все правильно? Делаю новые логи,да?

Еще хотела уточнить.Вчера когда делала скрипт №3,то в карантин было отправлено 3 файла,создала архив с ними,сегодня когда повторяла все заново то в карантине пусто.Вчерашний Архив пригодится?

Изменено 22 февраля, 2010 пользователем terra

[snifer67]

Да.

[terra]

Новые логи

virusinfo_syscheck.zip

 

hijackthis.log

 

на всякий случай сохранила протокол выполнения скрипта №3,там ошибка выходила в работе

avz_log2.txt

 

http://www.getsysteminfo.com/read.php?file...6c2&force=1

 

 

Сообщение от модератора akoK

Убрал virusinfo_cure.zip... это карантин и он нам не нужен.

 

 

вот еще этот

 

упса я думала он не прикрепился

 

уберите еще раз плиз.Это его мне надо отправить с паролем?

Изменено 22 февраля, 2010 пользователем akoK

[akoK]

Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('0000160E.sys','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('0000160E.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив необходимо загрузить при помощи этой формы, не забудте указать пароль: virus

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.

 

 

 

C:\WINDOWS\system32\sdra64.exe - Packed.Win32.Krap.ar

C:\WINDOWS\system32\overlapp32.dll - Trojan-Spy.Win32.Hascha.cb (после лечения необходимо сменить пароли он-лайн сервисов).

[terra]

Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe

Сейчас все сделаю,но вот при выполнениии по инструкции нажимаю FIX .... и далее ДА ,потом типа должна выскочить окно с ОК,но нет зависание.Это норма?

[akoK]

Сейчас все сделаю,но вот при выполнениии по инструкции нажимаю FIX .... и далее ДА ,потом типа должна выскочить окно с ОК,но нет зависание.Это норма?

 

Нет... выполните фикс в HJT после скрипта. И продолжайте по инструкции.

[terra]

Нет... выполните фикс в HJT после скрипта. И продолжайте по инструкции.

Скрипт не выполняется,опять пишет ту же ошибку что и раньше Ошибка в работе антируткита "Failed to set data for "DisplayName"

 

>> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне API

1.2 Поиск перехватчиков API, работающих в KernelMode

Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]

Ошибка в работе антируткита [Out of memory], шаг [9]

Ошибка в работе антируткита [Out of memory], шаг [9]

[akoK]

Скорее всего прийдется деинсталировать оутпост. Попробуйте сейчас убрать из скрипта строку SearchRootkit(true, true);

[terra]

Скорее всего прийдется деинсталировать оутпост. Попробуйте сейчас убрать из скрипта строку SearchRootkit(true, true);

не помогло,плюс следом вылетел интерент,потом так и не запустила,пришлось перезагружаться.