Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не запускаются AVZ, AVPToollastest и все, что содержит их имена (http://forum.oszone.net/showthread.php?t=193705)

Vaneo 12-12-2010 01:06 1563713
Не запускаются AVZ, AVPToollastest и все, что содержит их имена
 
Не запускается так же ComboFix. Я так полагаю, что не запускается и много чего еще. Hijackthis тоже :( Броузер, Total Commander и что угодно с содержанием этим слов сразу вышибает (в гугле, например, набрать или еще где, вылетает и IE, и Опера, и FireFox). Если открыть не файл менеджером - закрывается explorer. Переименование утилит не помогает.
Запускается CureIT, но ничего не находит. Из-под другой ОС запускается все, что угодно, но так же ничего не находит (проверял при помощи AVZ все диски).
Winlogon слегка подъедает процессор, ProcessMonitor пишет, что он лазит в index.dat в темпе от IE, в реестр к настройкам интернета и бог знает еще куда.
Что делать дальше даже не знаю... :(

zirreX 12-12-2010 02:42 1563740
Здравствуйте!
Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Как подготовить логи DDS.SCR

Vaneo 12-12-2010 20:15 1564278
Вложений: 2
Здравствуйте zirreX!
Вот логи.

zirreX 12-12-2010 20:43 1564304
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
d:\winnt51\system32\djsetev.exe

:Reg
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Vaneo 12-12-2010 23:59 1564459
All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== SERVICES/DRIVERS ==========
========== FILES ==========
d:\winnt51\system32\djsetev.exe moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\\"Userinit"|"c:\windows\system32\userinit.exe," /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 41620 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: User
->Temp folder emptied: 58256853 bytes
->Temporary Internet Files folder emptied: 7623214 bytes
->Java cache emptied: 26746449 bytes
->FireFox cache emptied: 68020000 bytes
->Opera cache emptied: 21252216 bytes
->Flash cache emptied: 171238 bytes

User: TestUser
->Temp folder emptied: 28676 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 7140 bytes
->Flash cache emptied: 41620 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133863 bytes
%systemroot%\System32 .tmp files removed: 1504845 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 199670 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 178,00 mb


OTM by OldTimer - Version 3.1.15.0 log created on 12122010_234240



Однако Windows XP больше не грузится. При загрузке она сначала пишет "завершение сеанса пользователя", а потом начинает перебирать надписи "сохранение параметров", "загрузка параметров пользователя". В safe mode не грузится вообще. Перебирается все файлы и на фоне мигающего курсора загрузка замирает :(

zirreX 13-12-2010 01:15 1564513
Приношу свои извинения, допустил механическую ошибку, дал вам в скрипте стандартный путь для userinit (c:\windows\system32\userinit.exe), он у вас отличается от обычного.

1.Скачайте образ ERD Commander (подойдет любой другой LiveCD с возможностью правки реестра) на "здоровом" ПК, запишите на диск.
2.Загрузитесь с этого диска.
3.Кнопка Пуск -> Выполнить -> erdregedit
4.Посмотрите в реестре:

ветка:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В вашем случае правильное значение для параметра Userinit
Код:
d:\winnt51\system32\userinit.exe,
Исправьте значение на правильное и система загрузится.

Vaneo 13-12-2010 19:37 1565017
Дело в том, что у меня две Windows (XP, с которой трудность и 7, которая стоит в качестве в игрушки поиграть), причем, загрузчик у каждой свой. Поэтому я и назвал каталоги по-разному, чтобы сразу видеть, где какая. В ХР много установлено, в т.ч. сервер Oracle, не хочется этого терять :(

zirreX 13-12-2010 19:51 1565029
Цитата:
Цитата Vaneo
В ХР много установлено, в т.ч. сервер Oracle, не хочется этого терять »
Вы ничего не потеряете, сейчас все исправим.

zirreX 13-12-2010 20:10 1565040
Скачайте утилиту RegeditPE, распакуйте запустите с рабочей системы Windows 7

ветка:
HKEY_LOCAL_MACHINE\_D_comp_software\Microsoft\Windows NT\CurrentVersion\Winlogon

Исправьте значение параметра userinit на

Код:
d:\winnt51\system32\userinit.exe,
Даю вам скрин на своём примере, у меня Windows 7 и Windows XP. Значения (буква диска ) замените на те, которые я указал.

Vaneo 13-12-2010 20:52 1565079
Цитата:
Цитата zirreX
Вы ничего не потеряете, сейчас все исправим. »
Огромное спасибо! Все починилось :)
Симптомов вируса нет, AVZ и Kaspersky Virus Removal работают. Пойду курить логи, смотреть, где он там был виден :)
Ну и прочешу на всякий случай компьютер AVZ.

Прошлепал вирус, кстати, NOD 32 2.7, даром, что обновленный. Откуда подцепил - даже не знаю...

Еще раз огромное спасибо!

zirreX 13-12-2010 21:08 1565089
Vaneo, для контроля советую подготовить стандартный набор логов (AVZ & RSIT). :)

Папку C:\_OTM запакуйте c паролем virus и отправьте через эту форму.

Цитата:
Цитата Vaneo
Прошлепал вирус, кстати, NOD 32 2.7, даром, что обновленный »
Настоятельно рекомендую установить Eset Smart Security 4.0 или 4.2, версия 2.7 морально устарела!

Vaneo 13-12-2010 22:49 1565175
Цитата:
Цитата zirreX
Папку C:\_OTM запакуйте c паролем virus и отправьте через эту форму. »
Т.е. мне запаковать ..\_OTM, который сгенерился после работы ОТМ-скрипта?
Там по форме предлагается прислать "quarantine.zip и/или virusinfo_cure.zip (другие недопустимы)" Это от AVZ, а куда там прилепить OTM? :)

Стандартные логи AVZ/RSIT приложить сюда к сообщению просто, я правильно понял?

zirreX 13-12-2010 23:10 1565186
Цитата:
Цитата Vaneo
Стандартные логи AVZ/RSIT приложить сюда к сообщению просто, я правильно понял? »
Да. :)

Цитата:
Цитата Vaneo
Т.е. мне запаковать ..\_OTM, который сгенерился после работы ОТМ-скрипта?
Там по форме предлагается прислать "quarantine.zip и/или virusinfo_cure.zip (другие недопустимы)" Это от AVZ, а куда там прилепить OTM? »
Да, запакуйте с паролем virus и отправьте архив на мою почту _

Vaneo 13-12-2010 23:14 1565189
Вложений: 2
Вот логи RSIT и AVZ. Карантин пустой.
_OTM я пришлю завтра, если вы не возражаете, а то к компьютеру тому не всегда есть доступ по житейским причинам :)

zirreX 14-12-2010 02:24 1565290
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINNT51\dimqli.dll','');
QuarantineFile('D:\WINNT51\system32\msupdte.exe','');
DeleteFile('D:\WINNT51\system32\msupdte.exe');
DeleteFile('D:\WINNT51\dimqli.dll');
DeleteFileMask('D:\Documents and Settings\User\Application Data\B0F2743Ca','*.*', true);
DeleteFileMask('D:\Program Files\Common Files\B0F2743Ca','*.*', true);
DeleteDirectory('D:\Documents and Settings\User\Application Data\B0F2743Ca\');
DeleteDirectory('D:\Program Files\Common Files\B0F2743Ca\');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Lceqey');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Microsoft WinUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Подготовьте повторный лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Обновите Internet Explorer до восьмой версии.
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Обновите Adobe Reader до последней версии.

Vaneo 14-12-2010 13:56 1565584
Вложений: 3
_OTM я отправил вам на почту, с паролем virus.
По форме тоже отправил оба отчета.
IE обновил, Acrobat тоже (не знал, что он может насолить).

Логи RSIT прикрепляю к сообщению.
MBAM я скачал и обновил, но при проверке возникает беда, выкидывающая BSOD (лог Errorlog.txt во вложении; исключить что-ли просто его из проверки?)

zirreX 14-12-2010 14:10 1565594
Vaneo, зловредов в логе больше не вижу. :)

Vaneo 14-12-2010 14:20 1565600
Да, но во время проверки MBAM говорил про одного. Сейчас попробую исключить ntdll.dll из проверки просто...

zirreX 14-12-2010 14:23 1565602
Заново запустите сканирование

Vaneo 14-12-2010 14:27 1565605
Запускал два раза, в первый раз списал на случайность.
Добавил ntdll.dll в игнор лист, запустил сканироваться заново.

Vaneo 14-12-2010 15:41 1565671
Вложений: 1
Вот лог проверки. Что-то подозрительно много...

zirreX 14-12-2010 16:38 1565717
Все пароли обязательно сменить!

Удалите в MBAM

Код:
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Folders Infected:
d:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Files Infected:
d:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
Кейгены также советую удалить!

Vaneo 14-12-2010 16:50 1565729
Так и сделал.
Спасибо за помощь!

zirreX 14-12-2010 17:24 1565754
Не за что, обращайтесь если что! :)

Запустите OTM, нажмите CleanUp.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы:
скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.


Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.

Удачи! :)

Vaneo 14-12-2010 18:01 1565783
Я восстановлением системы не пользуюсь, кстати. Зазря?

В остальном - спасибо! Обычно так и делаю. IE не использую.

zirreX 14-12-2010 18:11 1565791
Цитата:
Цитата Vaneo
Я восстановлением системы не пользуюсь, кстати. Зазря? »
Советую включить, можно только на системном диске.

Vaneo 14-12-2010 19:47 1565861
Хорошо, так и сделаю :up


Время: 20:15.

Время: 20:15.
© OSzone.net 2001-