Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Проблемы после удаления Win32.Xorer (http://forum.oszone.net/showthread.php?t=105638)

Dump 23-04-2008 19:56 787739
Проблемы после удаления Win32.Xorer
 
проблема похожа на описанную тут http://forum.oszone.net/thread-105213.html
Но всё же.
Вобщем компьютер был неживой. Снял винт подключил к своему компу со всеми мерами предосторожности, у меня KAV7 обнаружил порядка 400-500 файлов вируса. Все удалил. Вставил назад в ноут, ура винда запустилась, но постоянно при включении порядка 20-30 раз выходит сообщение "Система восстановленна после серьёзной ошибки" . При выполнении скриптов AVZ в частности третьего скрипта вдруг начал визжать Ноутовский каспер 7,0 с старенькими базами 2-3недельной давности и ругался он на Win32.Xorer.ee и ему подобные всех удалил (До этого антивирус вобще не включался). Самое главное Безопасный режим не загружается, улетает в BSOD с ошибкой 0х0000007b .
Ну и логи само собой выкладываю!

Pili 23-04-2008 21:31 787793
Dump, не хватает лога hijackthis - сделайте прикрепите его к сообщению.
В безопасном режиме система может загружаться?
Отключите восстановление системы!
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('NetApi000', 4);
 QuarantineFile('C:\Program Files\PoivY.com\PoivY\PoivY.exe','');
 QuarantineFile('C:\WINDOWS\system32\csrss_tc.exe','');
 QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\~.exe.37313.exe','');
 QuarantineFile('C:\NetApi000.sys','');
 DeleteService('NetApi000');
 QuarantineFile('C:\WINDOWS\system32\Drivers\scnet.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\scfsp.sys','');
 QuarantineFile('C:\WINDOWS\system32\HideAgent.dll','');
 DeleteFile('C:\NetApi000.sys');
 DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\~.exe.37313.exe');
 DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(6);
 ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки поищите (можно через AVZ) файлы NETCFG.000, NETCFG.DLL, LSASS.EXE и SMSS.EXE в C:\WINDOWS\system32\com\
в корне всех дисков файлы PAGEFILE.PIF, 037589.LOG и AUTORUN.INF и добавьте в карантин
и выполните ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
повторите лог virusinfo_syscheck.zip и сделайте лог hijackthis
чистые фаайлы пойдут в базу безопасных

Dump 23-04-2008 22:18 787827
Вложений: 1
В Безопасном режиме система не грузиться...писал..."Самое главное Безопасный режим не загружается, улетает в BSOD с ошибкой 0х0000007b ."

Что-то не заметил я что лог Джека не выложил, вот он!
Так же отправляю карантин после первой проверки!

Pili 23-04-2008 22:27 787837
Dump, карантин нужен после выполненияия скрипта + добавить те файлы, которые найдуться из списка
после этого делаете новый лог hijackthis и virusinfo_syscheck.zip (2-й скрип AVZ)
Пришло 2 одинаковых карантина, видимо карантин делался до вып-ия скрипта, как и лог hijackthis

Dump 23-04-2008 22:34 787844
Цитата:
Цитата Pili
После перезагрузки поищите (можно через AVZ) файлы NETCFG.000, NETCFG.DLL, LSASS.EXE и SMSS.EXE в C:\WINDOWS\system32\com\
в корне всех дисков файлы PAGEFILE.PIF, 037589.LOG и AUTORUN.INF и добавьте в карантин »
Файлы не найдены, с помощью AVZ искал!
Цитата:
Цитата Pili
и выполните ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. »
Выполнил высылаю файл на почту

Логи сейчас выполнятся выложу.
После первого приведённого вами скрипта перестало появляться сообщение "Система восстановленна...."

Dump 23-04-2008 22:58 787867
Вложений: 1
Логи после выполнения скрипта, карантин после выполнения уже выслал

Pili 23-04-2008 22:59 787869
Dump, жаль, зловреды в карантин не захотели (а антивир был отключен? - хотя м.б. из за руткита), остальные файлы похоже чистые, подождем ответа от вирлаба...
В письме был только карантин, новые логи прикрепите к вашему сообщению здесь

Dump 24-04-2008 07:46 787988
Pili, Логи после выполнения скрипта выложены в сообщении #6
Антивирус выключен был вроде!

Pili 24-04-2008 08:12 787995
Dump, пришел ответ из вирлаба scnet.sys, scfsp.sys - чистые
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
O4 - Startup: ~.exe.38375.exe
O4 - Startup: ~.exe.38465.exe
Кстати, судя по карнтину этого файла C:\Program Files\PoivY.com\PoivY\PoivY.exe нет, поищите, если не найдете, можете деинсталлировать или выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\PoivY.com\PoivY\PoivY.exe','');
 DeleteFile('C:\Program Files\PoivY.com\PoivY\PoivY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Цитата:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
что из этого не нужно?
в остальном логи чистые, проблемы ещё наблюдаются?

Dump 24-04-2008 13:33 788180
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
Что это за служба ? Комп носимый всё остальное точно не нужно, но это я сам отключу.

Pili 24-04-2008 14:15 788227
Dump, по службам почитайте здесь

Dump 24-04-2008 15:11 788276
Забыл спросить, а как мне восстановить безопасный режим ? Или с ним всё теперь нормально будет, если честно не проверял его ещё

Pili 24-04-2008 15:29 788291
Dump, безопасный режим должен работать, по логу AVZ проблем не замечено, если не будет, выполните скрипт
Код:
begin
ExecuteRepair(10);
end.
или запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
службы и безопасность можно настроить также скриптом
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
Службу SSDPSRV (Служба обнаружения SSDP) не трогал, сами решите.
Рекомендую отключить автозапуск со съемных носителей
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге.

Dump 24-04-2008 16:36 788345
Цитата:
Цитата Pili
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. »
Спасибо, уже читаю со вчерашнего дня!


Время: 21:21.

Время: 21:21.
© OSzone.net 2001-