Вирус + не загружаются антивирусные базы AVZ и т.п.

[thedmit]

В принципе я почти все описал в название темы, может поможет кто убрать эту заразу

 

------------------------------------

но в дополнение хотелось бы добавить что некоторые из файликов вируса прятались

в system32\cryptlnk.dll - определяется avp online cryptlnk.dll - инфицирован Trojan-Spy.Win32.Goldun.azb

в system32\~.exe и

в system32\msansspc.dll - уже не помню какие но удалились

 

в documents and settings\Administrator лежат пару подозрительных файлов типа:

nax.exe - на VirusTotal не определеяется

svscchost.exe - Kaspersky - - Trojan-Spy.Win32.Zbot.ewa

 

в реестре как всегда ntos.exe

а вот до кучи не открывыется раздел Notify (я полагаю там есть что посмотреть в моем случае)

 

какая то фигня была в AutoRun - ее убрали,

Ntos - тоже убрали

 

пару левый драйверов из SafeBoot и Network - тоже выкинули

 

но проблема с разделом Notify и соответственно с невозможностью загрузки или создания на ПК никаких антивирусных баз типа для avz или vdb для drweb - осталась. При запуске avz - красивый такое диалог из одних знаков вопроса. Cureit тоже ничего дельного не нашел.

 

HijackThis.exe запустил, лог прилагаю:

 

PS.

сразу хотелось бы оговориться - к ПК есть только (к сожалению) удаленный доступ

ПК WinXP Pro Лицензия

---------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:55:53, on 22.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\r_server.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\regedit.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Far\Far.exe

C:\antiv\cureit22092008\launch.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\_start.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe

C:\WINDOWS\system32\cmd.exe

C:\distr\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ╤ё√ыъш

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: RuPass.lnk = ?

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = office.local

O17 - HKLM\Software\..\Telephony: DomainName = office.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = 10.0.0.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = office.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 194.67.57.104

O17 - HKLM\System\CS1\Services\Tcpip\..\{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = ,10.0.0.1

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = office.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 194.67.57.104

O17 - HKLM\System\CS2\Services\Tcpip\..\{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = 10.0.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 194.67.57.104

O23 - Service: ╞єЁэры ёюс√Єшщ (Eventlog) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\services.exe

O23 - Service: ╤ыєцср COM чряшёш ъюьяръЄ-фшёъют IMAPI (ImapiService) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OracleServiceXE - Oracle Corporation - c:\progra~1\capital\oracle\product\10.2.0\server\bin\ORACLE.EXE

O23 - Service: Plug and Play (PlugPlay) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\services.exe

O23 - Service: ─шёяхЄўхЁ ёхрэёр ёяЁртъш фы  єфрыхээюую Ёрсюўхую ёЄюыр (RDSessMgr) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

O23 - Service: ╤ьрЁЄ-ърЁЄ√ (SCardSvr) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe

O23 - Service: ╞єЁэры√ ш юяютх∙хэш  яЁюшчтюфшЄхы№эюёЄш (SysmonLog) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: UFD Command Service (UFDSVC) - Generic - C:\WINDOWS\system32\ufdsvc.exe

O23 - Service: ╥хэхтюх ъюяшЁютрэшх Єюьр (VSS) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\System32\vssvc.exe

O23 - Service: └фряЄхЁ яЁюшчтюфшЄхы№эюёЄш WMI (WmiApSrv) - ╩юЁяюЁрЎш  ╠рщъЁюёюЇЄ - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

--

End of file - 5031 bytes

[MedvedevUnited]

Здравствуйте!

Добро пожаловать на форум!

 

Попробуйте вот это.

[thedmit]

Здравствуйте!

Добро пожаловать на форум!

 

Попробуйте вот это.

 

не пошло

при инсталляции avptool на больном ПК, также ругается на невозможность распаковки файлов с расширением AVZ

 

Еще какие варианты будут?

[AZЪ]

Выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

[akoK]

Если стандартная версия AVZ не сможет работать, скачайте эту версию AVZ

[thedmit]

Выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

ввобще то старались правила выполнять,

Avz не запускается

лог hijackthis присылал

 

утилиту SysInfo по указанной ссылка скачивал, sysinfо.txt в zip архив отправлял, через online формы по ссылке пытался загрузить,

но получил ошибку:

 

Формат файла sysinfo.txt в sysinfo.zip неверный :

httpd/unix-directory

 

 

Такие дела

 

попробую прикрепить sysinfo.zip тут...

 

Если стандартная версия AVZ не сможет работать, скачайте эту версию AVZ

 

temp.pif говорите ... прикольно, попробуем надеюсь он работает единым файлом, так как сам avz.exe отлично Запускается только не одной базы .avz подгрузить не может и вместо шрифта - знаки вопроса

sysinfo.zip

[Falcon]

AVZ по ссылке из поста №5 скачивали?

[thedmit]

AVZ по ссылке из поста №5 скачивали?

 

avz из пятого поста скачать не получается - супер сервис ifolder.ru говорит на необходимость сначала перехода на одну из страниц рекламодателей и просмотра в течении 30 сек, переходим сверху бежит от 30 до 0 таймер по истечении которого говорится что данный файл скачать не удается так как вы не посетили страницу нашего спонсора. Так уже 2 раза с разным ПК.

 

есть предложения?

 

avz из пятого поста скачать не получается - супер сервис ifolder.ru говорит на необходимость сначала перехода на одну из страниц рекламодателей и просмотра в течении 30 сек, переходим сверху бежит от 30 до 0 таймер по истечении которого говорится что данный файл скачать не удается так как вы не посетили страницу нашего спонсора. Так уже 2 раза с разным ПК.

 

есть предложения?

 

через одно место с кучами матюков файл из 5 поста все таки скачали

Я так понимаю - люди тут должны собираться серьезные и то-что этот файл на virustotal.com

в каком-то Sophos 4.33.0 2008.09.23 показыается как - Mal/Behav-024 - ничего страшного нет ?

Изменено 24 сентября, 2008 пользователем thedmit

[MedvedevUnited]

Нет, не страшно.

[thedmit]

Нет, не страшно.

 

файл AVZ Из пятого поста запустили, обновить разумеется не дал по старой причине,

но зато шрифты без знаков вопроса, запрашиваемые логи - прикрепляю к сообщению

 

Всякие автокарантины - не помогают пока.

 

Буде признателен за помощь

 

PS.

sysinfo zip несколькими постами ранее. Прошу извинить.

Сообщение от модератора AZЪ

удалены ненужные файлы

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 24 сентября, 2008 пользователем AZЪ

[Гриша]

Отключите:

- ПК от интернета/локалки

- Системное восстановление.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('cryptlnk.dll','');
QuarantineFile('asplug.dll','');
QuarantineFile('C:\Program Files\RuPass\RuPass.exe','');
QuarantineFile('C:\WINDOWS\system32\asplg.sys','');
QuarantineFile('C:\WINDOWS\system32\asplug.dll','');
DeleteService('slave');
DeleteService('asplg');	 
DeleteFile('C:\WINDOWS\system32\asplug.dll');
DeleteFile('C:\WINDOWS\system32\asplg.sys');
DeleteFile('C:\WINDOWS\system32\slave.sys');
DeleteFile('C:\Program Files\RuPass\RuPass.exe');
DeleteFile('asplug.dll');
DeleteFile('cryptlnk.dll');
DeleteFile('msansspc.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('slave');
BC_DeleteSvc('asplg');	
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.