[решено] не выполняется вход систему, не вызывается диспетчер задач

Pili · Отправлено: **10:27, 02-09-2008** | #21

otvertka, просто логи будет чуть меннее информативными.

otvertka · Отправлено: **10:34, 02-09-2008** | #22

Pili, заново собрать логи или такие сойдут?

Pili · Отправлено: **11:15, 02-09-2008** | #23

otvertka, сойдут, но лучше сформировать новые логи

otvertka · Отправлено: **11:42, 02-09-2008** | #24

Pili, сформировал логи строго по правилам

Pili · Отправлено: **14:18, 02-09-2008** | #25

otvertka, Запустите IceSword, выберите в меню File, появится аналог проводника, найдите в нем указанные файлы

Цитата:

C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winah37.sys
C:\WINDOWS\System32\Drivers\Winap46.sys
C:\WINDOWS\System32\Drivers\Wincj03.sys
C:\WINDOWS\System32\Drivers\Wincr37.sys
C:\WINDOWS\System32\Drivers\Winct36.sys
C:\WINDOWS\System32\Drivers\Windk36.sys
C:\WINDOWS\System32\Drivers\Winfn25.sys
C:\WINDOWS\System32\Drivers\Winmd15.sys
C:\WINDOWS\System32\Drivers\Winpx80.sys
C:\WINDOWS\System32\Drivers\Winxn14.sys
C:\WINDOWS\System32\Drivers\Winya03.sys
C:\WINDOWS\System32\Drivers\Winyg81.sys

нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to..., потом удалите файлы с помощью force delete (прав. кн. мыши, на запрос подтверждения ответьте "да"), не перегружая компьютер выполните в AVZ скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Winyg81', 4);
 SetServiceStart('Winya03', 4);
 SetServiceStart('Winxn14', 4);
 SetServiceStart('Winpx80', 4);
 SetServiceStart('Winmd15', 4);
 SetServiceStart('Winfn25', 4);
 SetServiceStart('Windk36', 4);
 SetServiceStart('Winct36', 4);
 SetServiceStart('Wincr37', 4);
 SetServiceStart('Wincj03', 4);
 SetServiceStart('Winap46', 4);
 SetServiceStart('Winah37', 4);
 SetServiceStart('wscsvcSharedAccess', 4);
 SetServiceStart('upnphosthelpsvc', 4);
 SetServiceStart('TrkWkslanmanworkstation', 4);
 SetServiceStart('SwPrvPolicyAgent', 4);
 SetServiceStart('stisvcERSvcWZCSVC', 4);
 SetServiceStart('stisvcERSvc', 4);
 SetServiceStart('stisvcDcomLaunch', 4);
 SetServiceStart('ServiceLayerProtectedStorageMessenger', 4);
 SetServiceStart('ServiceLayerProtectedStorage', 4);
 SetServiceStart('SamSsNetDDERasMan', 4);
 SetServiceStart('SamSsNetDDEdsdm', 4);
 SetServiceStart('SamSsNetDDE', 4);
 SetServiceStart('RDSessMgrRDSessMgrMSIServer', 4);
 SetServiceStart('RDSessMgrRDSessMgr', 4);
 SetServiceStart('RDSessMgrProtectedStorage', 4);
 SetServiceStart('RDSessMgrCOMSysAppRasMan', 4);
 SetServiceStart('RasManNtmsSvc', 4);
 SetServiceStart('PolicyAgentPlugPlay', 4);
 SetServiceStart('PolicyAgentDnscacheProtectedStorage', 4);
 SetServiceStart('oseTrkWks', 4);
 SetServiceStart('ImapiServiceSamSs', 4);
 SetServiceStart('EventSystemTapiSrv', 4);
 SetServiceStart('DnscacheProtectedStorage', 4);
 SetServiceStart('Dnscachelanmanserver', 4);
 SetServiceStart('COMSysAppwuauserv', 4);
 SetServiceStart('COMSysAppRasManhelpsvc', 4);
 SetServiceStart('COMSysAppRasMan', 4);
 SetServiceStart('BITSlanmanworkstation', 4);
 SetServiceStart('ALGEventlog', 4);
 QuarantineFile('srv.exe','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\blphcrmuj0e14j.scr','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg81.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winya03.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winxn14.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpx80.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmd15.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfn25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windk36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winct36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincr37.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincj03.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winap46.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winah37.sys','');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winah37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winap46.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincj03.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincr37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winct36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windk36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfn25.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmd15.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpx80.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxn14.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winya03.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyg81.sys');
 DeleteFile('C:\WINDOWS\system32\blphcrmuj0e14j.scr');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
 DelWinlogonNotifyByFileName('WinCtrl32.dll ');
 DeleteService('Winyg81');
 DeleteService('Winya03');
 DeleteService('Winxn14');
 DeleteService('Winpx80');
 DeleteService('Winmd15');
 DeleteService('Winfn25');
 DeleteService('Windk36');
 DeleteService('Winct36');
 DeleteService('Wincr37');
 DeleteService('Wincj03');
 DeleteService('Winap46');
 DeleteService('Winah37');
 DeleteService('wscsvcSharedAccess');
 DeleteService('upnphosthelpsvc');
 DeleteService('TrkWkslanmanworkstation');
 DeleteService('SwPrvPolicyAgent');
 DeleteService('stisvcERSvcWZCSVC');
 DeleteService('stisvcERSvc');
 DeleteService('stisvcDcomLaunch');
 DeleteService('ServiceLayerProtectedStorageMessenger');
 DeleteService('ServiceLayerProtectedStorage');
 DeleteService('SamSsNetDDERasMan');
 DeleteService('SamSsNetDDEdsdm');
 DeleteService('SamSsNetDDE');
 DeleteService('RDSessMgrRDSessMgrMSIServer');
 DeleteService('RDSessMgrRDSessMgr');
 DeleteService('RDSessMgrProtectedStorage');
 DeleteService('RDSessMgrCOMSysAppRasMan');
 DeleteService('RasManNtmsSvc');
 DeleteService('PolicyAgentPlugPlay');
 DeleteService('PolicyAgentDnscacheProtectedStorage');
 DeleteService('oseTrkWks');
 DeleteService('ImapiServiceSamSs');
 DeleteService('EventSystemTapiSrv');
 DeleteService('DnscacheProtectedStorage');
 DeleteService('Dnscachelanmanserver');
 DeleteService('COMSysAppwuauserv');
 DeleteService('COMSysAppRasManhelpsvc');
 DeleteService('COMSysAppRasMan');
 DeleteService('BITSlanmanworkstation');
 DeleteService('ALGEventlog');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
 ExecuteRepair(5);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip и архив с файлами, сформированными с помощью IceSword, отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
AVPTool можете деинсталлировать. Повторите логи

otvertka · Отправлено: **15:15, 02-09-2008** | #26

Pili, не нашел ни одного из этих файлов IceSword'ом и обычным проводником тоже:

Цитата Pili:

C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winah37.sys
C:\WINDOWS\System32\Drivers\Winap46.sys
C:\WINDOWS\System32\Drivers\Wincj03.sys
C:\WINDOWS\System32\Drivers\Wincr37.sys
C:\WINDOWS\System32\Drivers\Winct36.sys
C:\WINDOWS\System32\Drivers\Windk36.sys
C:\WINDOWS\System32\Drivers\Winfn25.sys
C:\WINDOWS\System32\Drivers\Winmd15.sys
C:\WINDOWS\System32\Drivers\Winpx80.sys
C:\WINDOWS\System32\Drivers\Winxn14.sys
C:\WINDOWS\System32\Drivers\Winya03.sys
C:\WINDOWS\System32\Drivers\Winyg81.sys »

Pili · Отправлено: **15:23, 02-09-2008** | #27

otvertka, ок, выполните скрипт, пришлите карантин и сформируйте новые логи.

otvertka · Отправлено: **16:11, 02-09-2008** | #28

Pili, выполнил скрипты, устранил проблемы, все нормально, спасибо большое!
отправил quarantine.zip на почту

повторно собираю логи
я могу уже ставить антивирус и отдавать комп?

otvertka · Отправлено: **16:23, 02-09-2008** | #29

логи:

Pili · Отправлено: **16:41, 02-09-2008** | #30

otvertka, выполните ещё скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Winyg81', 4);
 DeleteService('Winyg81');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winyg81.sys');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('Winyg81');
BC_Activate;
RebootWindows(true);
end.

после перезагрузки запустите файл hijackthis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Цитата:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Остался ещё мусор от AVPTool, но это не страшно.
В карантине кроме 2 файлов lsass.exe и spoolsv.exe ничего не было (не считая ini), но эти 2 файла вызвали подозрение, файлы ушли на анализ, подождем ответа вирлаба.