[alex_sev]

Цитата leh-stav:

Сегодня утром произошла не большая неприятность: при сканировании касперским диска C система повисла намертво и через 2-3 минуты выкинула в BSOD ссылаясь на watchlog.sys (скрин в следующем посте) »

Скорее конфликт с системным драйвером.

Цитата:

c:\windows\HideWin.exe

- этот файл Вам знаком, если нет, проверьте на Virustotal.com

[leh-stav]

результаты virustotal

File name:
HideWin.exe
Submission date:
2011-08-30 18:48:02 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%)



AhnLab-V3 2011.08.30.01 2011.08.30 -
AntiVir 7.11.14.37 2011.08.30 -
Antiy-AVL 2.0.3.7 2011.08.30 -
Avast 4.8.1351.0 2011.08.30 -
Avast5 5.0.677.0 2011.08.30 -
AVG 10.0.0.1190 2011.08.30 -
BitDefender 7.2 2011.08.30 -
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.30 -
ClamAV 0.97.0.0 2011.08.30 -
Commtouch 5.3.2.6 2011.08.30 -
Comodo 9933 2011.08.30 -
DrWeb 5.0.2.03300 2011.08.30 -
Emsisoft 5.1.0.11 2011.08.30 -
eSafe 7.0.17.0 2011.08.30 -
eTrust-Vet 36.1.8530 2011.08.30 -
F-Prot 4.6.2.117 2011.08.30 -
F-Secure 9.0.16440.0 2011.08.30 -
Fortinet 4.3.370.0 2011.08.30 -
GData 22 2011.08.30 -
Ikarus T3.1.1.107.0 2011.08.30 -
Jiangmin 13.0.900 2011.08.30 -
K7AntiVirus 9.111.5068 2011.08.29 -
Kaspersky 9.0.0.837 2011.08.30 -
McAfee 5.400.0.1158 2011.08.30 -
McAfee-GW-Edition 2010.1D 2011.08.30 -
Microsoft 1.7604 2011.08.30 -
NOD32 6423 2011.08.30 -
Norman 6.07.10 2011.08.30 -
nProtect 2011-08-30.01 2011.08.30 -
Panda 10.0.3.5 2011.08.30 -
PCTools 8.0.0.5 2011.08.30 -
Prevx 3.0 2011.08.30 -
Rising 23.73.01.03 2011.08.30 -
Sophos 4.68.0 2011.08.30 -
SUPERAntiSpyware 4.40.0.1006 2011.08.30 -
Symantec 20111.2.0.82 2011.08.30 -
TheHacker 6.7.0.1.286 2011.08.29 -
TrendMicro 9.500.0.1008 2011.08.30 -
TrendMicro-HouseCall 9.500.0.1008 2011.08.30 -
VIPRE 10318 2011.08.30 -
ViRobot 2011.8.30.4647 2011.08.30 -
VirusBuster 14.0.193.0 2011.08.30

[alex_sev]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

• Adobe Flash Player
• Java

[leh-stav]

Добрый день.
Все ваши рекомендации выполнил кроме одного (не работать за компьютером с правами администратора) но и это в ближайшее время исправлю.
Появилась не большая не приятность : контроль программ антивируса выявил (возможное) действие руткита

Текст окна оповещения

316B7_XP.EXE проявляет себя как скрытый объект.Данное повдение может быть следствием действий пользователя или вредоносной программы-руткита.
Обнаружено
PDM.Hidden object

C:\DOCUMENTS AND SETTINGS\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE


Последовательность запуска программы:
Запущено 7C7F4F.EXE

[alex_sev]

Сделайте тогда еще логи uVS:

http://safezone.cc/forum/showthread.php?t=14508

Так же скопируйте данный файл, запакуйте в архив с паролем virus

Цитата:

C:\DOCUMENTS AND SETTINGS\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Если файла по данному пути не увидите, попробуйте поискать и скопировать его так:

http://safezone.cc/forum/showthread.php?t=15283

[alex_sev]

Выполните скрипт в uVS

http://safezone.cc/forum/showthread.php?t=14509

Код:

;uVS v3.68 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\REGISTRY.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\REGISTRY.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\NEWADVSPLASH.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\NEWADVSPLASH.DLL
zoo %Sys32%\HIDSERV.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
deltmp
regt 5
regt 23
clrmd
restart

[leh-stav]

Добрый вечер.
Выше в пути я ошибся правильный путь C:\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE
Лог сделал и отправил.
Не получилось найти даже содержащую файл папку, до temp путь просматривается и а дальше никак. Пробовал Total Commander, XueTr.

[alex_sev]

Скрипт выполните выше указынный, хотя в логах я подозрительного не увидел.

Давайте для успокоения сделаем логи различными антируткитами:

Xuetr:

http://safezone.cc/forum/showthread.php?t=15334

GMER:

http://safezone.cc/forum/showpost.php?p=452&postcount=1

Vba32 AntiRootkit:

http://safezone.cc/forum/showthread.php?t=14172

RKU:

http://safezone.cc/forum/showthread.php?t=14797

TDSSKiller:

http://support.kaspersky.ru/faq/?qid=208636926

После создания каждого лога перезагружайте компьютер.

[leh-stav]

Логи uVS после выполнения скрипта и логи XueTr (остольное завтра)

[leh-stav]

Остальные логи.
При проверки Vba32 AntiRootkit в режиме extended выкинула в BSOD, сделал в режиме ordinary

текст BSOD

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: xl94cwdk.sys

PAGE_FAULT_IN_NONPAGED_AREA

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x10000050 (0xb2a55000, 0x00000000, 0xb7f8caf9, 0x00000000)

*** xl94cwdk.sys - Address 0xb7f8caf9 base at 0xb7f85000 DateStamp 0x4e1ebee3