Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите с логами (http://forum.oszone.net/showthread.php?t=158018)

d_u 23-11-2009 17:23 1278161
Помогите с логами
 
Вложений: 2
Доброго времени суток всем участникам. Хочу заранее поблагодарить людей, помогающих решить проблемы, часто полученные из-за собственной беспечности.
Итак, имею Висту х64, в качестве защиты стоит Аутпост Секьюрити Сьюит 2009, базы обновляю каждый день, если верить ему - все чисто. Но мучают меня параноидальные сомнения, что не все в порядке. Трафик (количество) контролируется Bandwidtch Monitor, имеющий функцию TCP connection, так там периодически в сеть (помимо Оперы, Бата или иных пользующих интернет приложений) на внешние адреса периодически лезет {System process}. Также периодически при загрузке слетают настройки значков уведомлений, служба Аутпоста не стартует (значек в трее серый). Вроде бы ничего критичного, но тем не менее. Да, в папке Cyberlink PowerDVD сидят два файла, определяемые как зараженные, но Аутпост их блокирует при запуске плеера (он портэйбл), так что там ИМХО в порядке все. Вот логи Gmer, Hijackthis и AVZ.

akok 23-11-2009 17:46 1278173
Что говорит Cureit?

d_u 23-11-2009 18:10 1278187
О, им не проверял. Сейчас..

d_u 23-11-2009 18:33 1278205
Вложений: 1
Вот лог CureIt!
по сути, обратил внимание только на
C:\Windows\system32\srvany.exe является потенциально опасной программой Program.SrvAny
остальное все - ОК

d_u 23-11-2009 18:45 1278213
Сейчас его онлай потестирую
Comodo 3.12 3009 2009-11-23 UnclassifiedMalware 0.891
Dr.Web 4.44.0.9170 2009.11.23 2009-11-23 Program.SrvAny 7.181
Поискал, получается что это для... некоторых Windows это нормально. Так что интересно что по логам в первом сообщении.

iskander-k 23-11-2009 20:51 1278309
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\Windows\system32\Drivers\utqzndi4.sys','');
DeleteFile('\??\C:\Windows\system32\Drivers\utqzndi4.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del file "\??\C:\Windows\system32\Drivers\utqzndi4.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\utqzndi4"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer. HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:

F2 - REG:system.ini: UserInit=userinit.exe
Сделайте новые логи АВЗ и гмер.

d_u 23-11-2009 21:06 1278331
Понял, спасибо. Т.е. что-то есть?
Upd. Докладываю - по поводу "utqzndi4.sys" - это похоже, драйвер, который AVZ пытается при начале сканирования загрузить, сам файл и ключ в реестре удалил (после сканирования, до отправки логов еще), удалилось в ручную, после перезагрузки не вылезло снова, появилось при начале сканирования AVZ. Кстати, AVZ при попытке выполнить скрипт вылетает.
"F2 - REG:system.ini: UserInit=userinit.exe" пофискил. Кстати, если можно, что это вообще? Не сам файл, а что не нравится программе?
Сейчас логи будут, как просканирует.

d_u 23-11-2009 21:41 1278378
Вложений: 1
Логи:

d_u 24-11-2009 01:20 1278558
Подскажите плиз по теме...

akok 24-11-2009 11:21 1278768
Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение

Хотя мое мнение, что нет ничего в системе.

d_u 24-11-2009 13:35 1278862
Вложений: 2
Вот логи, посмотрите плиз.

iskander-k 24-11-2009 20:00 1279122
У вас вроде чисто , но обнаружены (сетевые дрова для Хр) скорее всего конфликт с дровами небольшой или несовместимость с вистой. Вот Аутпост и долбает вас(также возможно версия Аутпост несовместима с вистой) . Возможно проблемы из-за того что - Виста у вас ,возможно- пиратка или русифицирована неправильно(похожие проблемы бывают когда русифицируют висту - к примеру SP 1 русификатором для висты без SP и т.д)

d_u 24-11-2009 20:56 1279162
Спасибо Вам огромное!
А можно подробнее по поводу дров (хотя бы намек на то, где об этом в логах посмотреть)?

iskander-k 24-11-2009 21:33 1279184
Цитата:
Цитата d_u
А можно подробнее по поводу дров (хотя бы намек на то, где об этом в логах посмотреть)? »
По подробнее - это долго, в логах видите имя файла и если имя вам не знакомо посмотрите в интернете и найдете описание.

d_u 24-11-2009 22:09 1279209
Понял, спасибо.


Время: 22:22.

Время: 22:22.
© OSzone.net 2001-