Борьба с заражением системы

[Arestos]

Добрый всем день! Хотя он не совсем добрый, ибо суббота а я сижу на работе и пытаюсь победить innounp.

Первоначально у меня был весь букет: и VistaDrv.exe и инноунп и ещё много всего...я попросту переставил систему отформатировав системный диск. Но как выяснилось позже, эта змеина "отсиделась" где-то на других дисках в архивах и потом возродилась... при этом при резервном копировании и последующей обратной заливке на новый хард, все папки сканились НОДом с последними базами, который так ничего и не нашёл.

 

Определил что вирус только после того как через асю от моего имени начал слаться спам. Тогда уже запустил скан AVZ который нашёл и innounp.exe и заражённые архивы. После этого поискал в реестре по имени "innounp" и увидел что он прописался в класс "exefile". успешно поправил ключ стерев его оттуда. Но в процессе изгнания вируса возникла проблема...винда (XP SP3) не загружается в обычном режиме вообще (виснет на надписи Windows XP и прогресс бар отрисовывается очень-очень медленно, а если судить по лампочкам, то дальнейшего обращения к харду не происходит). С установочного диска загрузиться тоже не получается. Виснет на загрузке устройств (HwPnP). Соответственно установить Recovery Console и продолжить дальнейшие манипуляции с Combofix'ом, описанные выше, я - не могу. Подскажите как и что делать? Может похоже ещё на какой-то вирус? По причине таких же глюков собственно говоря переставлял винду и в первый раз. Временные файлы удалилил, логи SDFix ComboFix - прикрепляю. Малвор ничего не нашёл кроме записей в реестре о том что отключено оповещение о брэндмауэре, антивире и автоапдейтах.

Logs.rar

[Arestos]

Вот ещё логи с хайджеком и AVZ. Но всё делаю в безопасном режиме, ибо обычный режим не грузится...((((((

 

Logs.rar

[ТроПа]

Как подготовить лог AVZ в безопасном режиме

В тех случаях, когда вход в систему в обычном режиме невозможен. Работает только безопасный режим, стандартные логи AVZ будут неинформативны. Для сбора необходимой информации для проведения эффективного лечения нужно:

 

1) AVZ => Файл => Стандартные скрипты

Необходимо отметить стандартный скрипт №1 и нажать Выполнить отмеченные скрипты

2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол.

3. Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.

В большинстве случаев это поможет собрать необходимую информацию, выявить вредоносные или конфликтующие службы и драйверы, запуск которых в обычном режиме приводит к краху системы.

Ещё c:\windows\system32\ezsidmv.dat проверьте на virustotal.com и дайте ссылку на результат проверки.

[Arestos]

К сожалению вирустотал ничего вроде не нашёл: http://www.virustotal.com/ru/analisis/a96a...94a92964188647b

 

А вот и сэйфмодовые логи AVZ

LogSM.rar

[ТроПа]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(1);
 ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Попробуйте загрузиться в обычном режиме.

[Arestos]

Неа, не помогло...тот же висяк на загрузке....

NumLock даж включиться не успевает...

 

Безопаска с поддержкой сетевых драйверов - также виснет...

В полном логе АВЗ который прикреплял у меня находились какие-топ одозрительные файлы в restore'ах.....это они гадить не могут?

[akoK]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Arestos]

С Gmer'om и RSIT'om - попробую, а с комбофиксом - облом, я скачал его и установочный файл, а вор консоль восстановления поставить не могу, поскольку у меня грузится только безопасный режим (самый прстой, без поддержки сети). если RC можно заинсталлить как то без инета, то помогите плиз советом?

[akoK]

поробуйте пропустить пункт с консолью

[Arestos]

А если Gmer после того как проверил файлы (судя по последней проверенной папке) - больше ничего не пишет в статусной строке, то это значит что он:

 

а - закончил проверку?

 

б - висит?

 

в - что-то проверяет?

 

и я у него что-то кнопки "сохранить лог" не увидел, не подскажете кто-нибудь?

 

)) дошло: он в развёрнутом окне теряет кнопку SAVE.

 

Поскольку долго промучался с сохранением логов Gmer'а, выкладываю лог укороченной проверки, а также лог Rsit'a. Лог от КомбоФикса выкладывал в самом первом посте, но сделаю ещё....как только закончу полную проверку Гмером и мохраню полный лог...

Gmer.rar

LogsRSIT.rar

[Arestos]

Вот и полный лог Gmer'a.....

 

 

А это - лог комбофикса (новый) и лог проверки файлов на которые у меня возникли подозрения. Все они согласно подписи выпущены майкрософтом, но почти ни один из них проверку подлинности не прошёл...

 

С комбофиксом получился только шаг 3. Когда попробовал перетащить исошный установочный файл на иконку комбофикса, то он нарисовал мне следующую ошибку (см прикреплённый файл).

 

 

 

Комбофикс забыл.....вот он...

2.rar

7_04_2009.rar

ComboFix.rar

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::

Folder::

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2008-12-21 c:\windows\system32\advpack.dll]
"IE7_012"="advpack.dll" [2008-12-21 c:\windows\system32\advpack.dll]
FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Если не поможет, то воспользуйтесь рекомендациями из этой темы

Что-то вы намудрили с лечением Ничего я вного в системе не вижу.

[Arestos]

К сожалению, не дождавшись ответа в теме во вторник, я попросил админа перставить мне систему, т.к. комп - рабочий и долго он простаивать не может...

Однако после перестановки (кстати поставил лицензионные форточки ) какая-то зараза всё ещё осталась жива)) лог AVZ и Malware прилагаю.

9_04_2009.rar

[ТроПа]

Arestos перечитайте, пожалуйста, ещё раз эту тему и выложите те логи АВЗ которые там написаны

[Arestos]

Вот всё как просили:

9_04_2009_AVZ_HJ.rar