thedmit 0 Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 В принципе я почти все описал в название темы, может поможет кто убрать эту заразу ------------------------------------ но в дополнение хотелось бы добавить что некоторые из файликов вируса прятались в system32\cryptlnk.dll - определяется avp online cryptlnk.dll - инфицирован Trojan-Spy.Win32.Goldun.azb в system32\~.exe и в system32\msansspc.dll - уже не помню какие но удалились в documents and settings\Administrator лежат пару подозрительных файлов типа: nax.exe - на VirusTotal не определеяется svscchost.exe - Kaspersky - - Trojan-Spy.Win32.Zbot.ewa в реестре как всегда ntos.exe а вот до кучи не открывыется раздел Notify (я полагаю там есть что посмотреть в моем случае) какая то фигня была в AutoRun - ее убрали, Ntos - тоже убрали пару левый драйверов из SafeBoot и Network - тоже выкинули но проблема с разделом Notify и соответственно с невозможностью загрузки или создания на ПК никаких антивирусных баз типа для avz или vdb для drweb - осталась. При запуске avz - красивый такое диалог из одних знаков вопроса. Cureit тоже ничего дельного не нашел. HijackThis.exe запустил, лог прилагаю: PS. сразу хотелось бы оговориться - к ПК есть только (к сожалению) удаленный доступ ПК WinXP Pro Лицензия --------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:55:53, on 22.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\r_server.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\regedit.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Far\Far.exe C:\antiv\cureit22092008\launch.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\_start.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe C:\WINDOWS\system32\cmd.exe C:\distr\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ╤ё√ыъш F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: RuPass.lnk = ? O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\Software\..\Telephony: DomainName = office.local O17 - HKLM\System\CCS\Services\Tcpip\..\{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = 10.0.0.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 194.67.57.104 O17 - HKLM\System\CS1\Services\Tcpip\..\{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = ,10.0.0.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 194.67.57.104 O17 - HKLM\System\CS2\Services\Tcpip\..\{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = 10.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 194.67.57.104 O23 - Service: ╞єЁэры ёюс√Єшщ (Eventlog) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\services.exe O23 - Service: ╤ыєцср COM чряшёш ъюьяръЄ-фшёъют IMAPI (ImapiService) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OracleServiceXE - Oracle Corporation - c:\progra~1\capital\oracle\product\10.2.0\server\bin\ORACLE.EXE O23 - Service: Plug and Play (PlugPlay) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\services.exe O23 - Service: ─шёяхЄўхЁ ёхрэёр ёяЁртъш фы єфрыхээюую Ёрсюўхую ёЄюыр (RDSessMgr) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe O23 - Service: ╤ьрЁЄ-ърЁЄ√ (SCardSvr) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe O23 - Service: ╞єЁэры√ ш юяютх∙хэш яЁюшчтюфшЄхы№эюёЄш (SysmonLog) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: UFD Command Service (UFDSVC) - Generic - C:\WINDOWS\system32\ufdsvc.exe O23 - Service: ╥хэхтюх ъюяшЁютрэшх Єюьр (VSS) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\System32\vssvc.exe O23 - Service: └фряЄхЁ яЁюшчтюфшЄхы№эюёЄш WMI (WmiApSrv) - ╩юЁяюЁрЎш ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 5031 bytes Цитата Ссылка на сообщение Поделиться на другие сайты
MedvedevUnited 230 Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 Здравствуйте! Добро пожаловать на форум! Попробуйте вот это. Цитата Ссылка на сообщение Поделиться на другие сайты
thedmit 0 Опубликовано 24 сентября, 2008 Автор Share Опубликовано 24 сентября, 2008 Здравствуйте!Добро пожаловать на форум! Попробуйте вот это. не пошло при инсталляции avptool на больном ПК, также ругается на невозможность распаковки файлов с расширением AVZ Еще какие варианты будут? Цитата Ссылка на сообщение Поделиться на другие сайты
AZЪ 261 Опубликовано 24 сентября, 2008 Share Опубликовано 24 сентября, 2008 Выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698 Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 139 Опубликовано 24 сентября, 2008 Share Опубликовано 24 сентября, 2008 Если стандартная версия AVZ не сможет работать, скачайте эту версию AVZ Цитата Ссылка на сообщение Поделиться на другие сайты
thedmit 0 Опубликовано 24 сентября, 2008 Автор Share Опубликовано 24 сентября, 2008 Выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698 ввобще то старались правила выполнять, Avz не запускается лог hijackthis присылал утилиту SysInfo по указанной ссылка скачивал, sysinfо.txt в zip архив отправлял, через online формы по ссылке пытался загрузить, но получил ошибку: Формат файла sysinfo.txt в sysinfo.zip неверный : httpd/unix-directory Такие дела попробую прикрепить sysinfo.zip тут... Если стандартная версия AVZ не сможет работать, скачайте эту версию AVZ temp.pif говорите ... прикольно, попробуем надеюсь он работает единым файлом, так как сам avz.exe отлично Запускается только не одной базы .avz подгрузить не может и вместо шрифта - знаки вопроса sysinfo.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 24 сентября, 2008 Share Опубликовано 24 сентября, 2008 AVZ по ссылке из поста №5 скачивали? Цитата Ссылка на сообщение Поделиться на другие сайты
thedmit 0 Опубликовано 24 сентября, 2008 Автор Share Опубликовано 24 сентября, 2008 (изменено) AVZ по ссылке из поста №5 скачивали? avz из пятого поста скачать не получается - супер сервис ifolder.ru говорит на необходимость сначала перехода на одну из страниц рекламодателей и просмотра в течении 30 сек, переходим сверху бежит от 30 до 0 таймер по истечении которого говорится что данный файл скачать не удается так как вы не посетили страницу нашего спонсора. Так уже 2 раза с разным ПК. есть предложения? avz из пятого поста скачать не получается - супер сервис ifolder.ru говорит на необходимость сначала перехода на одну из страниц рекламодателей и просмотра в течении 30 сек, переходим сверху бежит от 30 до 0 таймер по истечении которого говорится что данный файл скачать не удается так как вы не посетили страницу нашего спонсора. Так уже 2 раза с разным ПК. есть предложения? через одно место с кучами матюков файл из 5 поста все таки скачали Я так понимаю - люди тут должны собираться серьезные и то-что этот файл на virustotal.com в каком-то Sophos 4.33.0 2008.09.23 показыается как - Mal/Behav-024 - ничего страшного нет ? Изменено 24 сентября, 2008 пользователем thedmit Цитата Ссылка на сообщение Поделиться на другие сайты
MedvedevUnited 230 Опубликовано 24 сентября, 2008 Share Опубликовано 24 сентября, 2008 Нет, не страшно. Цитата Ссылка на сообщение Поделиться на другие сайты
thedmit 0 Опубликовано 24 сентября, 2008 Автор Share Опубликовано 24 сентября, 2008 (изменено) Нет, не страшно. файл AVZ Из пятого поста запустили, обновить разумеется не дал по старой причине, но зато шрифты без знаков вопроса, запрашиваемые логи - прикрепляю к сообщению Всякие автокарантины - не помогают пока. Буде признателен за помощь PS. sysinfo zip несколькими постами ранее. Прошу извинить. Сообщение от модератора AZЪ удалены ненужные файлы virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 24 сентября, 2008 пользователем AZЪ Цитата Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 24 сентября, 2008 Share Опубликовано 24 сентября, 2008 Отключите: - ПК от интернета/локалки - Системное восстановление. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('msansspc.dll',''); QuarantineFile('cryptlnk.dll',''); QuarantineFile('asplug.dll',''); QuarantineFile('C:\Program Files\RuPass\RuPass.exe',''); QuarantineFile('C:\WINDOWS\system32\asplg.sys',''); QuarantineFile('C:\WINDOWS\system32\asplug.dll',''); DeleteService('slave'); DeleteService('asplg'); DeleteFile('C:\WINDOWS\system32\asplug.dll'); DeleteFile('C:\WINDOWS\system32\asplg.sys'); DeleteFile('C:\WINDOWS\system32\slave.sys'); DeleteFile('C:\Program Files\RuPass\RuPass.exe'); DeleteFile('asplug.dll'); DeleteFile('cryptlnk.dll'); DeleteFile('msansspc.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('slave'); BC_DeleteSvc('asplg'); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите. Логи повторить. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.