Снова NT AUTHORITY /SYSTEM [OK]

[Kupuk]

Такае же проблема, при запуски винды выдает тоже сообщение Проблема с NT AUTHORITY /SYSTEM вызванное services.exe. Идет перезагрузка. Сижу в безопасном режиме. до этого постоянно вылетал rootkit в smss.exe, вирус Trojan-Downloader.Win32.Agent.bruy. Один раз завис и стали вылетать ошибки в svchost.exe. Сделал ресет и появилось это сообщение. Загрузился в безопасный режим, попытк запустить касперский или авз не дала результатов. Пришлось переменовывать файлы exe на другие. Прошел проверку Касперского на критические области, удалил такие вирусы : Email-Worm.Win32.Joleee.dv, Hoax.Win32.Renos.esb, not-a-virus:FraudTool.Win32.XPSecurityCEnter.ba,Backdoor.Win32.Small.gjm,Backdoor.Win3

2.agent.zwh,rootkit.win32.tdss.dbg,

rootkit.win32.tdss.ffn,trojan-downloader.win32.agent.bbef,trojan-downloader.win32.agent.bcjf, trojan-downloader.win32.agent.bdqs , trojan-downloader.win32.boltolog.dnp , Trojan.Win32.Inject.mxn; Обновить антивирусную базу не могу. Скрипты которые дали не помогли.

Помогите плиз

 

Сообщение от модератора Falcon

Выделил в отдельную тему.

[akoK]

Подготовьте логи. Тогда напишем скрипты для Вас, которые должны помочь.

[Kupuk]

  akoK сказал:

Подготовьте логи. Тогда напишем скрипты для Вас, которые должны помочь.

Логи сделаны в безопасном режиме, т.к войти в обычный режим не могу, ибо перегрузка происходит

вот логи

hijackthis.logПолучение информации...

virusinfo_syscheck.zipПолучение информации...

[Falcon]

!Отключите восстановление системы!

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
TerminateProcessByName('c:\windows\system32\drivers\ntndis.exe');
QuarantineFile('c:\docume~1\a72d~1.kup\locals~1\temp\init.exe','');
QuarantineFile('C:\Documents and Settings\Кирик.KUPUK\Кирик.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\vvftav.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpw53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls18.sys','');
DeleteService('Winpw53');
DeleteService('Winls18');
DeleteService('siusbmod');
DeleteService('SenFiltService');
DeleteService('securentm');
DeleteService('ws2_32sik');
DeleteService('amd64si');
DeleteService('AMDPCI');
QuarantineFile('C:\WINDOWS\system32\Drivers\stremu.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\slabser.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\siusbmod.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Senfilt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\DOCUME~1\A72D~1.KUP\LOCALS~1\Temp\AMDPCI.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\DOCUME~1\A72D~1.KUP\LOCALS~1\Temp\AMDPCI.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Senfilt.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\siusbmod.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw53.sys');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('c:\docume~1\a72d~1.kup\locals~1\temp\init.exe');
BC_ImportAll;
BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('AMDPCI');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('securentm');
BC_DeleteSvc('siusbmod');
BC_DeleteSvc('SenFiltService');
BC_DeleteSvc('Winpw53');
BC_DeleteSvc('Winls18');
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

 

 

Пофиксите:

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

 

Ждем новые логи.

[Kupuk]

Письмо отослал, профиксировал все кроме F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe его не было. Попрежнему нахожусь в БР (еще не заходил). Вот логи

hijackthis.logПолучение информации...

virusinfo_syscheck.zipПолучение информации...

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('stremu');
DeleteService('slabser');
DeleteService('srescan');	  
DeleteFile('C:\WINDOWS\system32\DRIVERS\slabser.sys');
DeleteFile('C:\WINDOWS\system32\ZoneLabs\srescan.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\stremu.sys');
DeleteFile('C:\Documents and Settings\Кирик.KUPUK\Кирик.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\digeste.dll');	 
BC_ImportDeletedList;
BC_DeleteSvc('srescan');
BC_DeleteSvc('stremu');
BC_DeleteSvc('srescan');
ExecuteSysClean;								   
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Пофиксите:

O4 - HKCU\..\Run: [Кирик] C:\Documents and Settings\Кирик.KUPUK\Кирик.exe /i

 

Выполните в AVZ:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

Прикрепите 2 лога AVZ и лог HJT.

[Kupuk]

Новые логи, попытаюсь зайти в обычный режим. Ошибка не вылетает.

Я не могу по прежнему запусить касперский и авп со старым именем

Вот новые логи сделанные в обычном режиме. Спасибо, жду дальших наставлений

hijackthis.logПолучение информации...

virusinfo_syscheck.zipПолучение информации...

Изменено 25 мая, 2009 пользователем Falcon

[Falcon]

Обновите базы AVZ и переделайте логи (их должно быть 3).

[Kupuk]

Вот логи. После проверки АВЗ и перезагрузкой компьютера, каспер обнаружил новый вирус backdoor.win32.agent.tzl

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

hijackthis.logПолучение информации...

Изменено 25 мая, 2009 пользователем Kupuk

[Falcon]

C:\tuktuk.com

Это вам знакомо?

[thyrex]

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\AcSignExtResc.exe','');
DeleteFile('C:\WINDOWS\system32\AcSignExtResc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделать новые логи

[Kupuk]

  Falcon сказал:

C:\tuktuk.com

Это вам знакомо?

Знакомо, этот файл я скачивал по какой-то ссылки данной на этом форуме, это какой-то авз бета или альфа версии.

Сегдня пришел винда перестала нормально загружатся в обычном режиме, точнее вообще перестала. Она не зависает, но ничего не делает, не загружает ни одуну программу(даже хард не вращается). Просто рабочий экран.

Делаю скрипт в БС. И еще при сканирование диска C с помощью avz вылетала несколько раз восстановление файлов системы, для чего нужен диск с видной. Иначе замене на неизвестные. Нахожусь в БС делаю новые логи

Не все-таки винда чудом загрузилась и вот новые логи с нормального режима

 

Не смог отправить карантин на почту, говорит много весит

hijackthis.logПолучение информации...

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

hijackthis.logПолучение информации...

virusinfo_syscheck.zipПолучение информации...

Изменено 25 мая, 2009 пользователем Kupuk

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\drivers\d213ed03.sys','');
DeleteService('d213ed03');
DeleteFile('C:\WINDOWS\System32\drivers\d213ed03.sys');
BC_ImportDeletedList;
BC_DeleteSvc('d213ed03');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

1) Скачайте Vba32 AntiRootkit отсюда или отсюда. Распакуйте и запустите программу (файл Vba32arkit.exe);

2) Уберите галочку с Use AntiVirus Kernel:

3) Далее File -> Logging State и нажмите Start;

Сохраните лог (файл Vba32arkitLog) и прикрепите его к сообщению.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[Kupuk]

Все сделал, вроде вирус удален, тока вылетает ошибка не может найти библиотеку grddrv32.dll, также включилась оповещение безопасности windows.

Вот нужные логи

Vba32ArkitLog.htmlПолучение информации...

mbam_log_2009_05_26__00_23_32_.txtПолучение информации...

[Falcon]

  Kupuk сказал:

вылетает ошибка не может найти библиотеку grddrv32.dll

Это от Guardant driver management, переустановите программу.

C:\WINDOWS\System32\drivers\f6e0bd2e.sys - поищите при помощи IceSword (menu -> file) и проверьте на Virustotal.com.

  Kupuk сказал:

включилась оповещение безопасности windows

Оповещения можно отключить:

 

1) Пуск - Настройка - Панель управления - Центр обеспечения безопасности

 

2) В меню слева выбрать "Изменить способ оповещений..."

 

Убрать все галки.