Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] хозяйствует нечто: исчезают аудиоустройства системы, меняется рабочий стол (http://forum.oszone.net/showthread.php?t=143307)

nissal 23-06-2009 15:03 1149818
хозяйствует нечто: исчезают аудиоустройства системы, меняется рабочий стол
 
Вложений: 1
Доброго времени суток! :)

Господа, столкнулся с интересной (печальной) ситуацией.

обслуживается периодически ноут асус (чистка вирусов, установка ПО, мелочи). очередная заявка: пропадает звук и система жутко тормозит.
как обычно, проверил кьютИтом свежим - ничего... начал прибивать подозрительные процессы таскменеджером и мсконфигом.
наиболее подозрительный процесс nvCPL странным образом переписывался в автостарт и даже дублировался. некоторые закладки в свойствах рабочего стола заблокированы (см. логи)

в защищенном режиме нашел парочку троян дропперов и даунлоадеров кьюрИтом и еще пару касперского вирус римувал тулом (включая то, что было в карантине кьюрита).
вот еще что: ноут постоянно защищен дрВебом 4.44, базы обновляются регулярно (было обнаружено оставание в 2-3 дня, объясненные выходными).

далее сделал все по Вашим Правилам, даже пребдел (касперским ВРТ и АВЗ последовательно), логи прилагаю.
после всего система вроде бы работает нормально, даже исчез процесс nvCPL, но я что-то боюсь запускать приложения, т.к. в секции логов есть строки типа "перехватчик не определен".

прошу помощи всесильного сообщества! ;)

заранее спасибо и наилучшие пожелания!

p.s. изменил тип учетной записи с админ на "ограниченная" и установил пароль (ХР Номе). Отдельно создал админку со сложным паролем. правда, встроенный админ поставлен без пароля, но переустановка системы считается крайне нежелательной.

_Falcon_ 23-06-2009 15:29 1149856
Нужны логи AVZ в архивах (virusinfo_syscure.zip & virusinfo_syscheck.zip), их можно найти в папке лог в директории с AVZ.

nissal 24-06-2009 21:47 1150986
_Falcon_, исправился (переприкрепил нужные файлы).

thyrex 24-06-2009 22:48 1151018
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wineh25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winei58.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfi25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfi58.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhk58.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winim36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winps25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqt47.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrv36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winva03.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa47.sys','');
 DeleteService('Winwa47');
 DeleteService('Winva03');
 DeleteService('Winuy36');
 DeleteService('Winsx27');
 DeleteService('Winrv36');
 DeleteService('Winqt47');
 DeleteService('Winps25');
 DeleteService('Winim36');
 DeleteService('Winhn26');
 DeleteService('Winhk58');
 DeleteService('Winfi58');
 DeleteService('Winfi25');
 DeleteService('Winei58');
 DeleteService('Wineh25');
 DeleteService('Winbe25');
 DeleteService('xmlprovNVSvc');
 DeleteService('WebClientALG');
 DeleteService('TrkWksThemes');
 DeleteService('SysmonLogPolicyAgent');
 DeleteService('stisvcWebClientALG');
 DeleteService('ShellHWDetectionose');
 DeleteService('SharedAccessmnmsrvc');
 DeleteService('RasManNetDDE');
 DeleteService('MSIServerWmiApSrv');
 DeleteService('MSIServerdmadmin');
 DeleteService('MSDTCWebClient');
 DeleteService('MDMSwPrvNetDDEdsdm');
 DeleteService('MDMSwPrv');
 DeleteService('lanmanworkstationSPIDERNT');
 DeleteService('IrmonASWLSVCTrkWks');
 DeleteService('helpsvcseclogon');
 DeleteService('DhcpSSDPSRV');
 DeleteService('DcomLaunchdmadmin');
 DeleteService('BthServNetlogon');
 DeleteService('BITSClipSrv');
 DeleteService('ASWLSVCTrkWks');
 QuarantineFile('?  srv','');
 QuarantineFile('р%Ђ|x  srv','');
 DeleteFile('р%Ђ|x  srv');
 DeleteFile('?  srv');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwa47.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winva03.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuy36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsx27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrv36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqt47.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winps25.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winim36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhn26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhk58.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfi58.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfi25.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winei58.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wineh25.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbe25.sys');
 DeleteFile('WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Сделайте новые логи

nissal 25-06-2009 01:20 1151119
Вложений: 1
thyrex, спасибо! все сделал. результаты прилагаются. только вот карантина не вышло: в папке карантин ничего, кроме пустой папки с именем текущей даты. так что касперскому вроде как и нечего слать...

_Falcon_ 25-06-2009 10:46 1151274
Карантин открепите, пожалуйста.

Выполните:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('ASWLSVCTrkWks');
 DeleteService('BITSClipSrv');
 DeleteService('BthServNetlogon');
 DeleteService('DcomLaunchdmadmin');
 DeleteService('DhcpSSDPSRV');
 DeleteService('helpsvcseclogon');
 DeleteService('IrmonASWLSVCTrkWks');
 DeleteService('lanmanworkstationSPIDERNT');
 DeleteService('MDMSwPrv');
 DeleteService('MDMSwPrvNetDDEdsdm');
 DeleteService('MSDTCWebClient');
 DeleteService('MSIServerdmadmin');
 DeleteService('MSIServerWmiApSrv');
 DeleteService('RasManNetDDE');
 DeleteService('SharedAccessmnmsrvc');
 DeleteService('ShellHWDetectionose');
 DeleteService('stisvcWebClientALG');
 DeleteService('SysmonLogPolicyAgent');
 DeleteService('TrkWksThemes');
 DeleteService('WebClientALG');
 DeleteService('xmlprovNVSvc');
 DeleteService('ctneaf4');   
 QuarantineFile('C:\WINDOWS\System32\drivers\ctneaf4.sys','');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\ctneaf4.sys');
 BC_ImportAll;
 BC_DeleteSvc('ctneaf4');
 BC_DeleteSvc('WebClientALG');
 BC_DeleteSvc('xmlprovNVSvc');
 BC_DeleteSvc('TrkWksThemes');
 BC_DeleteSvc('SysmonLogPolicyAgent');
 BC_DeleteSvc('stisvcWebClientALG');
 BC_DeleteSvc('ShellHWDetectionose');
 BC_DeleteSvc('SharedAccessmnmsrvc');
 BC_DeleteSvc('RasManNetDDE');
 BC_DeleteSvc('ASWLSVCTrkWks');
 BC_DeleteSvc('BITSClipSrv');
 BC_DeleteSvc('BthServNetlogon');
 BC_DeleteSvc('DcomLaunchdmadmin');
 BC_DeleteSvc('DhcpSSDPSRV');
 BC_DeleteSvc('helpsvcseclogon');
 BC_DeleteSvc('IrmonASWLSVCTrkWks');
 BC_DeleteSvc('lanmanworkstationSPIDERNT');
 BC_DeleteSvc('MDMSwPrv');
 BC_DeleteSvc('MDMSwPrvNetDDEdsdm');
 BC_DeleteSvc('MSDTCWebClient');
 BC_DeleteSvc('MSIServerdmadmin');
 BC_DeleteSvc('MSIServerWmiApSrv');
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
1) Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

nissal 25-06-2009 13:17 1151381
Вложений: 1
_Falcon_, спасибо! скрипт отработал, а GMER во время проверки (после нажатия кнопки "скан" уваливает систему в синий экран.
попробую в безопасном режиме.

nissal 25-06-2009 14:14 1151435
Вложений: 1
GMER отработал в обычном режиме. отчет прилагаю :)

thyrex 25-06-2009 15:21 1151488
Этот лог чист.

Теперь еще раз сделайте три стандартных лога

nissal 25-06-2009 15:39 1151502
Вложений: 1
хорошо. сейчас сделаю.

от нечего делать прошелся еще указанным "МБАМом" - ... если кому интересно. ничего не лечил.

nissal 25-06-2009 16:35 1151546
Вложений: 1
thyrex, вот...

_Falcon_ 25-06-2009 17:10 1151572
Выполните в AVZ:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 ClearQuarantine;                                 
 QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.sys','');
 DeleteFileMask('C:\Documents and Settings\олексій\Local Settings\Temp\', '*.*', true);   
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
ПК перезагрузится.

Затем:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

Если в карантин ничего не попадет, поищите файл Beep.sys и проверьте его на Virustotal.com.

nissal 25-06-2009 17:42 1151598
_Falcon_, в карантин ничего не попадает, соответственно архив пустой. поиски Веер.sys не дали результатов...

thyrex 25-06-2009 18:22 1151622
Выполните скрипт в AVZ
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('Beep');                                 
 DeleteFile('C:\WINDOWS\System32\Drivers\Beep.sys');   
 ExecuteSysClean;
 RebootWindows(true);
end.
Компьютер перезагрузится

Сделать только новый лог virusinfo_syscheck.zip

nissal 25-06-2009 19:52 1151704
thyrex, сделал.

thyrex 25-06-2009 23:06 1151852
Выполните скрипт в AVZ
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('Beep');                                 
 DeleteFile('Beep.sys');   
 ExecuteSysClean;
 RebootWindows(true);
end.
Компьютер перезагрузится

Сделать только новый лог virusinfo_syscheck.zip

nissal 29-06-2009 18:32 1154857
thyrex, к сожалению, не успел исполнить последний скрипт, не хватило времени.
в предыдущем скрипте было аналогичное задание, файл "веер.сис" во всех вариантах написания не был найден в системе.
система работает стабильно, передана хозяевам, замечаний нет.

огромное спасибо за помощь!


Время: 07:23.

Время: 07:23.
© OSzone.net 2001-