[решено] хозяйствует нечто: исчезают аудиоустройства системы, меняется рабочий стол

_Falcon_ · Отправлено: **15:29, 23-06-2009** | #2

Нужны логи AVZ в архивах (virusinfo_syscure.zip & virusinfo_syscheck.zip), их можно найти в папке лог в директории с AVZ.

nissal · Отправлено: **21:47, 24-06-2009** | #3

_Falcon_, исправился (переприкрепил нужные файлы).

thyrex · Конфигурация компьютера

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wineh25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winei58.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfi25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfi58.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhk58.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winim36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winps25.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqt47.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrv36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy36.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winva03.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa47.sys','');
 DeleteService('Winwa47');
 DeleteService('Winva03');
 DeleteService('Winuy36');
 DeleteService('Winsx27');
 DeleteService('Winrv36');
 DeleteService('Winqt47');
 DeleteService('Winps25');
 DeleteService('Winim36');
 DeleteService('Winhn26');
 DeleteService('Winhk58');
 DeleteService('Winfi58');
 DeleteService('Winfi25');
 DeleteService('Winei58');
 DeleteService('Wineh25');
 DeleteService('Winbe25');
 DeleteService('xmlprovNVSvc');
 DeleteService('WebClientALG');
 DeleteService('TrkWksThemes');
 DeleteService('SysmonLogPolicyAgent');
 DeleteService('stisvcWebClientALG');
 DeleteService('ShellHWDetectionose');
 DeleteService('SharedAccessmnmsrvc');
 DeleteService('RasManNetDDE');
 DeleteService('MSIServerWmiApSrv');
 DeleteService('MSIServerdmadmin');
 DeleteService('MSDTCWebClient');
 DeleteService('MDMSwPrvNetDDEdsdm');
 DeleteService('MDMSwPrv');
 DeleteService('lanmanworkstationSPIDERNT');
 DeleteService('IrmonASWLSVCTrkWks');
 DeleteService('helpsvcseclogon');
 DeleteService('DhcpSSDPSRV');
 DeleteService('DcomLaunchdmadmin');
 DeleteService('BthServNetlogon');
 DeleteService('BITSClipSrv');
 DeleteService('ASWLSVCTrkWks');
 QuarantineFile('?  srv','');
 QuarantineFile('р%Ђ|x  srv','');
 DeleteFile('р%Ђ|x  srv');
 DeleteFile('?  srv');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwa47.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winva03.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuy36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsx27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrv36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqt47.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winps25.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winim36.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhn26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhk58.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfi58.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfi25.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winei58.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wineh25.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbe25.sys');
 DeleteFile('WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

Код:

 O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Сделайте новые логи

nissal · Отправлено: **01:20, 25-06-2009** | #5

thyrex, спасибо! все сделал. результаты прилагаются. только вот карантина не вышло: в папке карантин ничего, кроме пустой папки с именем текущей даты. так что касперскому вроде как и нечего слать...

_Falcon_ · Отправлено: **10:46, 25-06-2009** | #6

Карантин открепите, пожалуйста.

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteService('ASWLSVCTrkWks');
 DeleteService('BITSClipSrv');
 DeleteService('BthServNetlogon');
 DeleteService('DcomLaunchdmadmin');
 DeleteService('DhcpSSDPSRV');
 DeleteService('helpsvcseclogon');
 DeleteService('IrmonASWLSVCTrkWks');
 DeleteService('lanmanworkstationSPIDERNT');
 DeleteService('MDMSwPrv');
 DeleteService('MDMSwPrvNetDDEdsdm');
 DeleteService('MSDTCWebClient');
 DeleteService('MSIServerdmadmin');
 DeleteService('MSIServerWmiApSrv');
 DeleteService('RasManNetDDE');
 DeleteService('SharedAccessmnmsrvc');
 DeleteService('ShellHWDetectionose');
 DeleteService('stisvcWebClientALG');
 DeleteService('SysmonLogPolicyAgent');
 DeleteService('TrkWksThemes');
 DeleteService('WebClientALG');
 DeleteService('xmlprovNVSvc');
 DeleteService('ctneaf4');     
 QuarantineFile('C:\WINDOWS\System32\drivers\ctneaf4.sys','');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\ctneaf4.sys');
 BC_ImportAll;
 BC_DeleteSvc('ctneaf4');
 BC_DeleteSvc('WebClientALG');
 BC_DeleteSvc('xmlprovNVSvc');
 BC_DeleteSvc('TrkWksThemes');
 BC_DeleteSvc('SysmonLogPolicyAgent');
 BC_DeleteSvc('stisvcWebClientALG');
 BC_DeleteSvc('ShellHWDetectionose');
 BC_DeleteSvc('SharedAccessmnmsrvc');
 BC_DeleteSvc('RasManNetDDE');
 BC_DeleteSvc('ASWLSVCTrkWks');
 BC_DeleteSvc('BITSClipSrv');
 BC_DeleteSvc('BthServNetlogon');
 BC_DeleteSvc('DcomLaunchdmadmin');
 BC_DeleteSvc('DhcpSSDPSRV');
 BC_DeleteSvc('helpsvcseclogon');
 BC_DeleteSvc('IrmonASWLSVCTrkWks');
 BC_DeleteSvc('lanmanworkstationSPIDERNT');
 BC_DeleteSvc('MDMSwPrv');
 BC_DeleteSvc('MDMSwPrvNetDDEdsdm');
 BC_DeleteSvc('MSDTCWebClient');
 BC_DeleteSvc('MSIServerdmadmin');
 BC_DeleteSvc('MSIServerWmiApSrv');
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

1) Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

nissal · Отправлено: **13:17, 25-06-2009** | #7

_Falcon_, спасибо! скрипт отработал, а GMER во время проверки (после нажатия кнопки "скан" уваливает систему в синий экран.
попробую в безопасном режиме.

nissal · Отправлено: **14:14, 25-06-2009** | #8

GMER отработал в обычном режиме. отчет прилагаю

thyrex · Конфигурация компьютера

Этот лог чист.

Теперь еще раз сделайте три стандартных лога

nissal · mbam-log-2009-06-25 (13-25-22).txt

хорошо. сейчас сделаю.

от нечего делать прошелся еще указанным "МБАМом" - ... если кому интересно. ничего не лечил.