Проверьте логи пожалуйста!

[Xenon]

У товарища комп начал тормозить и BSODить. Зашел я мимоходом, а там "толпа" вирей. AVZ не удалось сначала запустить. В Безопасном режиме были страшные тормоза, что невозможно что-то делать. С лайв-CD загрузился, пошерстил AVZ. Потом уже загрузился AVZ и в простом режиме. Сделал в нём восстановление системы по 16п. вкл. Прошелся ВЭБ-курейтом (нашел несколько вирусов). Сделал скрипты для логов. Ну и в ХайДжеке.

Операционка WinXP (ссори с собой не было на флешке GetSystemInfo) вроде SP2. Какая-то сборка. Антивирем ESET.

Да! В папке Windows/sistem32 полно файлов с названием из набора символов (букв,цифр, ...). ESET когда "носом" ткал в эти файлы детектировал как трояны и бэкдуры. В папке C/Document and Setting/.../Temp после загрузки системы каждый раз появлялся rescue.exe, хотя из автозагрузки (через Msconfig ) я его убрал. Тоже определялся как вирус.

Времени особо не было. Уходя запустид Курейт на полную проверку.

Посмотрите пожалуйста логи...

 

P.S. Может проще будет переустановить винду?

Изменено 6 декабря, 2010 пользователем Xenon

[Roman_Five]

Пофиксите в HijackThis:

O20 - AppInit_DLLs: dfhclfhd.dll,

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('sptd');
QuarantineFile('sppy.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\WINDOWS\system32\dfhclfhd.dll','');
DeleteFile('C:\WINDOWS\system32\dfhclfhd.dll');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Rescue');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

 

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте новые логи по правилам.

 

+

сделайте логи RSIT (log.txt и info.txt)

http://defendium.info/showthread.php/20-Kа...ью-утилиты-rsit

[Xenon]

Раскрывающийся текст:

Пофиксите в HijackThis:

O20 - AppInit_DLLs: dfhclfhd.dll,

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('sptd');
QuarantineFile('sppy.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\WINDOWS\system32\dfhclfhd.dll','');
DeleteFile('C:\WINDOWS\system32\dfhclfhd.dll');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Rescue');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

 

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте новые логи по правилам.

 

+

сделайте логи RSIT (log.txt и info.txt)

http://defendium.info/showthread.php/20-Kа...ью-утилиты-rsit

Спасибо! Сегодня если получится зайду к нему, сделаю.

 

Итак, фуу!

Всё сделал и обновил! Каранин отправил (из автоответа:Раскрывающийся текст:

" bcqr00003.dat,bcqr00004.dat,sptd.sys

Вредоносный код в файлах не обнаружен.

bcqr00005.dat,bcqr00006.dat,rescue32.exe - Trojan-Spy.Win32.BZub.jaj

Детектирование файлов будет добавлено в следующее обновление.

dfhclfhd.dll

Файл в процессе обработки."

).

Обновления для ИЕ8 загружаются. Система вроде пока работает нормально!

Прилагаю логи.

И отчет по GetSystemInfo:

Раскрывающийся текст:

http://www.getsysteminfo.com/read.php?file...19ea3b270475864

 

 

P.S. и еще напрягают процессы в Диспетчере задач (коих у меня нет):

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\system32\spnpinst.exe

C:\WINDOWS\system32\Sysocmgr.exe

Изменено 6 декабря, 2010 пользователем Xenon

[Roman_Five]

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

в дереве слева в разделе AppInit_DLLs выберите ветку HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

справа найдите объект dfhclfhd.dll

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху справа нажмите Save Log

перезагрузите компьютер.

полученный лог osam.html прикрепите к новому сообщению.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('dwshd', 4);
StopService('dwshd');
SetServiceStart('epfw', 4);
StopService('epfw');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ayv6ju0q.sys',' ');
QuarantineFile('dfhclfhd.dll','');
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\Program Files\plugin.exe',' ');
QuarantineFile('C:\WINDOWS\System32\drivers\dwshd.sys',' ');
DeleteFile('C:\Program Files\plugin.exe');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
DeleteFile('dfhclfhd.dll');
DeleteFile('C:\WINDOWS\System32\drivers\dwshd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ayv6ju0q.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
DeleteService('dwshd');
DeleteService('epfw');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\rescue32.exe');
BC_DeleteFile('dfhclfhd.dll');
BC_DeleteSvc('dwshd');
BC_DeleteSvc('epfw');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

 

----

upd: подправил скрипт - было 2 карантина на 1 файл

upd2: и оставил лишнюю запятую

Изменено 9 декабря, 2010 пользователем Roman_Five

[Xenon]

Roman_Five, ОК но уже завтра.

ЗЫ Я уж думаю, что проще было вчера еще систему переустановить.

Но! Спасибо за помощь, буду добивать ...пока что

[Xenon]

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

в дереве слева в разделе AppInit_DLLs выберите ветку HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

справа найдите объект dfhclfhd.dll

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху справа нажмите Save Log

перезагрузите компьютер.

полученный лог osam.html прикрепите к новому сообщению.

После "внизу справа нажмите Apply" нужно закрыть и точно ли "вверху справа нажмите Save Log" ?

Нашел только вверху слева Save Log

Скрипт не успел сделать, т.к. после выше описанного и перезагрузки не получается зайти на фан-форум ЛК. А ДО - заходил!

Теперь скопирую и завтра сделаю у него.

Лог OSAM прилагаю...

Изменено 7 декабря, 2010 пользователем Xenon

[Roman_Five]

отключите ещё в OSAM это:

 

HKLM\SYSTEM\CurrentControlSet\Services
afqnsazl C:\WINDOWS\system32\drivers\afqnsazl.sys

 

перезагрузитесь.

выполните старые скрипты и сделайте новые логи. если доступ к форуму не восстановился сам - выполните скрипт:

begin
ExecuteRepair(14);
RebootWindows(true);
end.

 

слева Save Log

да.слева.

[Xenon]

отключите ещё в OSAM это:

 

HKLM\SYSTEM\CurrentControlSet\Services
afqnsazl C:\WINDOWS\system32\drivers\afqnsazl.sys

 

перезагрузитесь.

выполните старые скрипты и сделайте новые логи. если доступ к форуму не восстановился сам - выполните скрипт:

begin
ExecuteRepair(14);
RebootWindows(true);
end.

 

 

да.слева.

ОК! Спасибо! Но уже завтра к вечеру после работы.

[Xenon]

отключите ещё в OSAM это:

 

HKLM\SYSTEM\CurrentControlSet\Services
afqnsazl C:\WINDOWS\system32\drivers\afqnsazl.sys

Где это и как отключить в OSAM ?

 

Раскрывающийся текст:

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('dwshd', 4);
StopService('dwshd');
SetServiceStart('epfw', 4);
StopService('epfw');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ayv6ju0q.sys',' ');
QuarantineFile('dfhclfhd.dll','');
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\Program Files\plugin.exe',' ');
QuarantineFile('C:\WINDOWS\System32\drivers\dwshd.sys',' ');
DeleteFile('C:\Program Files\plugin.exe');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
DeleteFile('dfhclfhd.dll');
DeleteFile('C:\WINDOWS\System32\drivers\dwshd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ayv6ju0q.sys',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
DeleteService('dwshd');
DeleteService('epfw');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\rescue32.exe');
BC_DeleteFile('dfhclfhd.dll');
BC_DeleteSvc('dwshd');
BC_DeleteSvc('epfw');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Не удается выполнить скрипт в АВЗ: выскакивает окошко с "Ошибка: Too many actual parameters в позиции 19:11"

[Roman_Five]

Где это и как отключить в OSAM ?

Ошибка: Too many actual parameters в позиции 19:11"[/b]

 

по аналогии с предыдущим файлом, что Вы отключали.

подробнее надо?

 

скрипт подправил. извините.

[Xenon]

по аналогии с предыдущим файлом, что Вы отключали.

подробнее надо?

Ссори, но желательно для нуба (меня) подробнее!

 

HKLM\SYSTEM\CurrentControlSet\Services - в какой вкладке?

afqnsazl C:\WINDOWS\system32\drivers\afqnsazl.sys - не нашел что-то такого

 

После первого дня, уходя поставил полную проверку Курейтом и сделали потом проверку ESETом компа. Может они чего удалили...

Изменено 9 декабря, 2010 пользователем Xenon

[Roman_Five]

запустите. дождитесь окончания сканирования.

в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект afqnsazl

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху справа нажмите Save Log

перезагрузите компьютер.

полученный лог osam.html прикрепите к новому сообщению.

[Xenon]

запустите. дождитесь окончания сканирования.

в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services

справа найдите объект afqnsazl

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху справа нажмите Save Log

перезагрузите компьютер.

полученный лог osam.html прикрепите к новому сообщению.

Искал там тоже - объект afqnsazl

не нашел (см. выше)

[Roman_Five]

в прошлом отчёте был.

выполните скрипты в AVZ и сделайте новый отчёт OSAM и логи AVZ

интернет / доступ появился?

[Xenon]

в прошлом отчёте был.

выполните скрипты в AVZ и сделайте новый отчёт OSAM и логи AVZ

интернет / доступ появился?

Доступ появился (сделал восстановление в АВЗ)

Скрипт в АВЗ сделал, счас еще в ОСАМ сделаю

ЗЫ В OSAM стоит уже Off - просто сделал лог

Изменено 9 декабря, 2010 пользователем Xenon