Kostya777 0 Опубликовано 17 марта, 2009 Share Опубликовано 17 марта, 2009 (изменено) Здравствуйте! Ситуация следующая: Установлен был kav 6.0.3.837+Агент Администрирования Проблема началась с появления ошибки в сбое некоторых служб Каспера (Файловый антивирус и ещё парочка не работали). Решил переустановить и в ходе установки при копировании новых файлов выдается "Ошибка 1326:C:\Windows\system32\drivers\klif.sys. Возвращена функцией GetLastError : 1816" и происходил откат установки. Была произведена проверка CureIT от Dr.Web - нашел какие-то 2 "возможно.MACRO.virus'а", которые удалил. Прогнал Kaspersky Removing Tool (бесплатной утилиткой от Касперского,которая удаляется после проверки). Она нашла еще 1 какой-то вирус-удален После этих процедур ничего не изменилось,установка так и не прошла должным образом Файл klif.sys не удаляется,не переименовывается,не перемещается...Выдает ошибку "Недостаточно квот для обработки команды" - без понятия,что это значит. Скачал утилиту AVZ архивом,который у меня не распаковывается должным образом, опять-таки "Недостаточно квот для обработки команды" и при распаковывании все файлы filename.AVZ не распаковываются.(З.Ы. на другом компе всё ок) Поставил сканировать этот комп каспером с другого компьютера...было найдено 4 вируса (3 Trojan-Dropper.Win32.Agent.ajjm и 1 Trojan-Spy.Win32.Goldun.bwt). Троян-агентов он удалил (файлы ...\system32\drivers\dwshd.sys , EIO.sys , REGSYS.SYS) , а Goldun ни в какую (файл C:/windows/system32/pptpr.dll ) Проверил на virustotal файл pptpr.dll -60%,что вирус. После удаления Троян-агентов антивирус установился,но опять проблема со службами касперского. Была скачана полиморфная версия AVZ (одним файлом).Поставил на сканирование и программа тоже определила в нем вирус.Вписал какой-то скрипт на удаление этого файла(восстановление системы было выключено).В итоге этот файл удалился!Решил переустановить каспер и Бац!)))Опять та же ошибка с klif.sys. Требуется помощь: Как установить касперский,вернуть ему работоспособность и если есть вирусы,то по правильному их удалить Сейчас на компьютере не установлен антивирус Была произведена проверка CureIT, AVZ, Kaspersky Removing Tool и с другого компьютера Kav 6 На время проверки AVZ восстановление системы было отключено. ОС Window XP SP2. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 17 марта, 2009 пользователем Kostya777 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 409 Опубликовано 17 марта, 2009 Share Опубликовано 17 марта, 2009 (изменено) Была скачана полиморфная версия AVZ (одним файлом).Поставил на сканирование и программа тоже определила в нем вирус.Вписал какой-то скрипт на удаление этого файла(восстановление системы было выключено).В итоге этот файл удалился!Решил переустановить каспер и Бац!)))Опять та же ошибка с klif.sys.На время проверки AVZ восстановление системы было отключено. ОС Window XP SP2. 1. Выполнить скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('pptpr.dll',''); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('pptpr.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteFile('pptpr.dll'); BC_Activate; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь. 2. Пофиксить в HiJack O20 - Winlogon Notify: pptpr - pptpr.dll (file missing) Повторите все логи Изменено 17 марта, 2009 пользователем thyrex Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 17 марта, 2009 Share Опубликовано 17 марта, 2009 .было найдено 4 вируса(3 Trojan-Dropper.Win32.Agent.ajjm и 1 Trojan-Spy.Win32.Goldun.bwt). Троян-агентов он удалил (файлы ...\system32\drivers\dwshd.sys , EIO.sys , REGSYS.SYS) Очень странно, точно эти файлы? Логи антивируса можете выложить? Файлы TSP.sys и pptpr.sys - поищите через AVZ, (д.б. в C:\WINDOWS\system32\drivers), добавьте в карантин и проверьте на virustotal.com, если не найдутся, можете поискать дополнительно с помощью IceSword, написано здесь. Можете также проверить EIO.sys, REGSYS.SYS (в логах есть REGSYS.SYS - активен, д.б. от regmon) Если файлы TSP.sys и pptpr.sys окажется зловредами, выполните дополнительно к посту 2 скрипт. begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\TSP.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\pptpr.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\TSP.sys'); DeleteFile('C:\WINDOWS\system32\drivers\pptpr.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; BC_DeleteSvc('pptpr'); BC_DeleteSvc('TSP'); RebootWindows(true); end. Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер и сделайте новые логи. Дополнительно скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Ссылка на сообщение Поделиться на другие сайты
Kostya777 0 Опубликовано 18 марта, 2009 Автор Share Опубликовано 18 марта, 2009 (изменено) Ответ от newvirus@kaspersky.ru пришел.Выложил во вложениях Да,точно эти файлы,Alexey_I.Выложил часть лога во вложениях(там где написано,что нашел и что вылечил или удалил)logfile.txt Сделаны логи в соответсвии с рекомендациями во 2 посте Сообщение от модератора wise-wistful Нам не нужно имя аналитика, который проводил анализ, аттач удалил и ниже выложил ответ Здравствуйте, pptpr.dll - Trojan-Spy.Win32.Goldun.bwt Детектирование файла будет добавлено в следующее обновление. Пожалуйста, при ответе включайте переписку целиком. Ответ актуален для последних баз с источников обновлений. > Пароль на архив: virus > ----------------- virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 18 марта, 2009 пользователем wise-wistful Ссылка на сообщение Поделиться на другие сайты
ТроПа 71 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 (изменено) 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\MsSip3.dll',''); QuarantineFile('C:\WINDOWS\system32\MsSip2.dll',''); QuarantineFile('C:\WINDOWS\system32\MsSip1.dll',''); QuarantineFile('C:\WINDOWS\system32\stisvc.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\REGSYS.SYS',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. Повторите логи. Изменено 18 марта, 2009 пользователем wise-wistful Ссылка на сообщение Поделиться на другие сайты
sergio342 100 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 (изменено) в логах есть REGSYS.SYS - активен, д.б. от regmonПод него маскируется троян: C:\WINDOWS\system32\drivers\REGSYS.SYS - http://www.virustotal.com/analisis/9bb22d3...19cb3a5f1ac093f C:\WINDOWS\system32\drivers\EIO.sys - такой же: http://www.virustotal.com/analisis/9bb22d3...19cb3a5f1ac093f Изменено 18 марта, 2009 пользователем sergio342 Ссылка на сообщение Поделиться на другие сайты
ТроПа 71 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 Это из данной темы образцы или нет? Ссылка на сообщение Поделиться на другие сайты
sergio342 100 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 (изменено) Ага, из 4-го сообщения, поиск по хешу. Изменено 18 марта, 2009 пользователем sergio342 Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 Не вижу ни логjв AVZ с включенным AVZM, ни логов gmer, ни рез-тов проверки файлов. Все эти рекомендации были. Из логов удалено: троянская программа Trojan-Spy.Win32.Zbot.fem Файл: C:\System Volume Information\_restore{691EF2BD-92E3-4114-95B1-D4243ABCFBC1}\RP5\A0000704.exeудалено: троянская программа Trojan.Win32.Agent.ardl Файл: \\ray\Public\MarioForever.exe обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\Documents and Settings\k.nesterov\Рабочий стол\avz4\avz.exe не найдено: троянская программа Trojan-Spy.Win32.Goldun.bwt Файл: \\sionov\C$\WINDOWS\system32\pptpr.dll удалено: троянская программа Trojan-Dropper.Win32.Agent.ajjm Файл: \\sionov\C$\WINDOWS\system32\drivers\dwshd.sys удалено: троянская программа Trojan-Dropper.Win32.Agent.ajjm Файл: \\sionov\C$\WINDOWS\system32\drivers\EIO.sys удалено: троянская программа Trojan-Dropper.Win32.Agent.ajjm Файл: \\sionov\C$\WINDOWS\system32\drivers\REGSYS.SYS Ещё не означает, что файлы были с этого компьютера, тем более файлы удалены. sergio342, хэш конкретно файлов этого компьютера откуда брали? Ссылка на сообщение Поделиться на другие сайты
sergio342 100 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 Из avz_sysinfo.xml Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 Если действительно зловреды (топикстартеру не мешало бы самому проверить на VT), можно удалить скриптом begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('REGMON'); SetServiceStart('REGMON', 4); SetServiceStart('EIO', 4); QuarantineFile('C:\WINDOWS\system32\drivers\REGSYS.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\EIO.sys'); DeleteFile('C:\WINDOWS\system32\drivers\REGSYS.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('EIO'); BC_DeleteSvc('REGMON'); BC_Activate; RebootWindows(true); end. Сделать новые логи с вкл. AVZM и логи gmer sergio342, спасибо ) Ссылка на сообщение Поделиться на другие сайты
sergio342 100 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 (изменено) Не за что . Еще заметил, что когда сидит Goldun, его можно определить по этой записи: Функция IoCreateFile (80570BF3) - модификация машинного кода. Метод JmpTo. jmp F8A1D5CA \?\C:\WINDOWS\system32\drivers\REGSYS.SYS Изменено 18 марта, 2009 пользователем sergio342 Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 18 марта, 2009 Share Опубликовано 18 марта, 2009 sergio342, regmon от бывшей sysinternals в принципе тоже глубоко в систему лезет, не делал логи AVZ с работающим sysmon, в xml вообще давно не заглядывал, забыл, что там бывают хэши ) Ссылка на сообщение Поделиться на другие сайты
Kostya777 0 Опубликовано 19 марта, 2009 Автор Share Опубликовано 19 марта, 2009 Господа, огромное Вам всем человеческое спасибо за внимание и помощь.Но, увы, решение проблемы затянулось и было решено снести ОСь)Я бы с радостью выполнил все эти команды, но владелец ПК ясно сказал, что переустанавливай винду. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти