[iskander-k]

Цитата RUVATA:

а вот в userinit... »

должно быть так и обязательно с запятой

Цитата RUVATA:

C:\WINDOWS\system32\userinit.exe, »

Цитата RUVATA:

на подходе лог Malwarebytes's пока это единственное, что в этом плане запустилось »

А где лог МБАМ ?

[RUVATA]

MБAM застревает в процессе... совсем... и намертво вешает систему.
Проверка из под Dr.Web LiveCD ничего не дала... за исключением нескольких потенциально SpyWare *.html
и подозрительных архивов... избавился от них... но как и ожидалось "туфтовый улов"

вот удалось запустить AVP Tool /// есть лог...
Но выполнение скриптов похоже не работает...
пробовал выполнить простое удаление... как-то все на месте...
кое - как из архива запустился AVZ /// вот тоже прикладываю...

и еще вдруг пригодится... это лог FileMoon в момент когда пытаешься запустить AVZ

[Arbitr]

C:\DOCUME~1\admzm\LOCALS~1\Temp\s3chipid.sys вам знаком??
сможете проверить на virustotal.com ссылку приложите
Выполните скрипт AVP. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 DeleteFile('C:\WINDOWS\system32\3b1845bc.exe');
 QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
если карантин будет пустой, попробуйте сами найти этот файл заархивировать и отправить newviruskaspersky.com
далее у вас уже должны будут получиться логи AVZ и RSIT на вермя выполнения AVZ отключите все программы и антивирусное ПО првоерка займет 5-10 минут, перегружайтесь и ждем логи

[Arbitr]

p.s. кстати если сервак, и все так серьезно..почему элементарный автозапуск не отключен??? не говоря уже о других настройках политик

[RUVATA]

а потому, что админ раздолбай... его потому и уволили... и вот пока нового не приняли, эта "мзда" легла на программера
т.е. меня... сейчас буду пробовать скрипт...
кстати оформил официальный запрос в сл.поддержки Лаборатории Касперского посмотрим, что они там скажут....
и вот еще есть один лог... "ихней" GetSystemInfo

[Arbitr]

лог GSI конечно круто, но даже не знаю кто его возьмется смотреть)))
нет, после скрипта повторить лог AVZ предварительно все отключив и лог RSIT

[RUVATA]

Абсолютная победа!!!!!!
особо помогла
GMER

Цитата:

принимайте на вооружение

Гадом оказалась NdSpl.dll засевшая в C:\Documents and Settings\admzm\Temp\ которая средствами rundll32 и shell32 селилась во внедренных библиотеках...
о чем гордо свидетельствовал параметр vmApplet все той-же ветки

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Цитата:

возьмите на заметку

вобще штука интересная т.к. она судя по всему плодила и отслеживала все "прикосновения" к своим питомцам:
3b1845bc.exe,
3bcfg4tm.exe,
и бог знает еще сколько она успела "нашлепать" и сама поубивать...

Наблюдать за сие творением было оч интересно... так как изолировав её в памяти все симптомы исчезли, но при попытке
ее выгрузить и удалить - посыпались ошибки с участием вышеназванных 3b***.exe между ними по любому связь...
решил таки узнать кто кого порождает... причем мне было проще поверить в то, что это exe-шник dll-ку,
а оказалось все наоборот

Вот как дело было...
снова запускаю NdSpl.dll во внедренные библиотеки... и ВУАЛЯ! ...
непродолжительный скачок нагрузки на процессор... и где-то в ...system32\ появляется некий
fgp4lmk.exe , стоит его хотя-бы выделить его в проводнике - NdSpl.dll выгружается из памяти
(при этом судя по всему - напрягает систему себя попозже перезапустить)...
и если ты этот файлик не "кил" то следующий раз посетив каталог ...system32\ ты его там уже не найдешь...
да и вобще ничего до поры до времени... через случайный временной интервал - опять подгружается NdSpl.dll

ну и собственно говорят "эта песня хороша - начинай сначала"

вот так...