Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   проблема после проникновения вируса (http://forum.oszone.net/showthread.php?t=96940)

Bondy 27-12-2007 20:26 705231
Приветствую.Очень прошу помочь мне, ибо из-за этой проблемы не могу пользоватся компьютером, пишу с КПК, и очень трудно найти и выбрать подходящую тему. У меня на компе стоит Касперский, не помню какой версии, возможно 7.0 . Давно не обновлялся. Я себе перемещался по своим сайтам в инете, запустил нужный и отошел на минутку. когда я вернулся у меня дико заглючил комп, пришлось перезагрузить. После перезагрузки выскочило черное окошко, которое мне обьявило что я не могу продолжать работу, и что надо что-то обновить. Единственная кнопка "Fix problem", ничего не работает, диспетчер задач не открывается, строка с кнопкой "Пуск" не видна... после нажатия кнопки выдает:

EROR: Browser Security and AntiAdware Software component license exprited (заголовок окна - security center ? [мелкий шрифт]help to protect your computer.[\мелкий шрифт])

Surfing ????, ???? and some other kind of sites you like without this software is dangerows (не dangerous, именно так) and threatens with infection of your computer by harmful viruses, adware, spyware. etc... You strongly need to update your software to avoid infection, and losting information from your computer. Please complete the procedure of software update;

Снизу окошко с заголовком "Browser Security and Antiadware Software Liveupdate"
В котором сообщает что я не могу загрузить основные файлы общественным каналом (ВСЕГДА перегружен), надо персональным. Лицензии у меня нету, надо создать новую - отправить СМС стоимостью 2 доллара. Оно не хочет выходить, или грузить что-то, после отправки СМС оно совершает звонок (как?) и просит меня not to handup или что-то вроде этого, после чего тупо отсчитывает 1.2, 1.3 minutes. сверху ссылка "Acess content" которая запускает ниоткуда Internet Explorer в котромо все такое же самое. Возможно это Касперский, он как раз давно не обновлялся и сегодня вякал мне про то, что давно не проверял весь комп. Не исключено, что это из-за того, что я пользую Maxthon... просьба помочь, иначе просто переустановлю Винду - всегда помогает :). Заранее очень благодарен, ламер, поэтому обьяснять все в деталях)

Tigr 27-12-2007 23:26 705319
Ты поймал телефонный вирус, к-й будет делать платные звонки. Жди счетов от телефонной компании. За СМС огромное спасибо от создателя вируса. Отключи ПК от интернета и телефонной линии. Скачай Ad-Aware SE (обнови при необходимости) или какой-либо другой антишпион и полечи комп в безопасном режиме. Восстанови работоспособность Каспера и проверь весь хард.

Bondy 27-12-2007 23:46 705324
Спасибо. но кстати интересно, как он звонит, если комп работает на кабельном интернете, и к телефону не подключен. Прогу могу скачать с компа друга, но я же не могу пользоватся компом - он при включении через пару сек включает этот вирус и не пускает исключительно никуда. очень трудными путями, вызовом контекстного меню с клавы и "сохранением фона как..." могу как-то что-то пользовать, но не представляю, как это делать. как мне запускать этот безопасный режим и устанавливать прогу, выключать могу только экстренной перезагрузкой и из меню приветствия при вводе пароля. к меню пуск имею доступ на пару сек, пока комп врубает все, что на автозапуске - благо не два ядра, а то бы и тех секунд не было...

Tigr 28-12-2007 00:30 705354
Цитата:
Цитата Bondy
интересно, как он звонит, если комп работает на кабельном интернете »
Из твоего описания я решил, что в компе есть подключенный к тел. сети модем. Думаю, что он не звонит, а пытается это сделать (по твоему описанию утверждать что-то сложно).
Цитата:
Цитата Bondy
я же не могу пользоватся компом - он при включении через пару сек включает этот вирус и не пускает исключительно никуда »
В Безопасный режим зайти не удается ?

Bondy 28-12-2007 13:24 705656
Не умею. говорю же - ламер, обьяснять в подробностях. Как именно заходить в этот режим?
Узнал у "старших товарищей", у них у всех при захлде Винда выдает примерно 30 сек, чтбы выбратьтип захода в систему. у меня жк просто мельякает окошко с черным фоном, кучей текста и звездой. Похоже это окно мне и надо,Ю но оно мелькает слишком быстро... Винду инсталлили не мы, видимо кто-то так настроил...


Поборолся с Виндой, зашел в безопасном режиме, щаз буду мучаться...

Bondy 28-12-2007 15:57 705736
Попроверял раз 10 всю системку, все что нашел опасного или хоть чуть-чуть подозрительного - нафиг. Не помогло... отключил от инета физически - просто на весь экран "Невозможно найти страницу и т. д." Просто полтергейст какой-то... У меня ж нету бэкапа всех моих файлов, а их там дофига, и терять не хоца :(.

Djdfy 28-12-2007 16:08 705738
Bondy, может быть у кого из друзей есть такое Hiren's.BootCD.8.2, необязательно этой версии, если есть, загрузись с этого диска, на нем есть антивирусы, вот их запусти для начала, а дальше видно будет, или скачай программу AVZ, на этом сайте очень много ссылок на нее и в безопасном режиме запусти ее. Удачи!

Severny 28-12-2007 16:14 705742
Bondy, Скачай Cureit , и проверь системный диск в безопасном режиме.
Скачай HijackThis
сделай лог и выкладывай здесь.
Скачай AVZ , распакуй, обнови и перейди в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.
Сканирование и логи делать НЕ в безопасном режиме.
Программы должны быть распакованы.

Bondy 28-12-2007 17:13 705776
Спасибо, сейчас все сделаемсь...

З.Ы. Убери слово "Просьба" из подписи - а то так и хочется на Вы называть))

curiet проверил, сейчас обновлю AZV попробую пробится в обычном режиме...
Лог с HiJack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:31:28, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Софт\HiJack\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Софт\Акробат Ридер 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Софт\Флэшгет\jccatch.dll
O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Софт\Флэшгет\getflash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\system32\dxdllreg.exe
O4 - HKLM\..\Run: [Flashget] "D:\Софт\Флэшгет\FlashGet.exe" /min
O4 - HKLM\..\Run: [License] locker.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [QIP2005] D:\Софт\QIP\прога\qip.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Закачать все при помощи FlashGet - D:\Софт\Флэшгет\jc_all.htm
O8 - Extra context menu item: &Закачать при помощи FlashGet - D:\Софт\Флэшгет\jc_link.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Софт\Флэшгет\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Софт\Флэшгет\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Софт\ICQ\прога\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Софт\ICQ\прога\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.ssaabb.com
O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\WINDOWS\rag.pif
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: clr_optimization_v2.0.50727_32 - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (file missing)
O23 - Service: Eventlog - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: HTTPFilter - Unknown owner - C:\WINDOWS\rag.pif
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6594 bytes
.

Bondy 28-12-2007 18:08 705796
Сделал лог AVZ в безопасном режиме, после 10 минут борьбы с вирусом и 17 перезагрузок все-таки запустил проверку всего компа, через 7-8 минут выложу оба лога.

AVZ жостка тормозит, поэтому небольшая задержка, еще немножко...

Severny 28-12-2007 18:13 705800
Bondy,
Цитата:
Цитата Severny
логи делать НЕ в безопасном режиме. »

Bondy 28-12-2007 18:49 705831
Я понимаю, я на всякий случай...

Лог в безопасном режиме

Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 28.12.2007 16:47:08
Загружена база: сигнатуры - 141572, нейропрофили - 2, микропрограммы лечения - 55, база от 28.12.2007 16:36
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 68055
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
Система загружена в режиме защиты от сбоев (SafeMode)
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 10
Количество загруженных модулей: 163
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\DAEMON Tools\SetupDTSB.exe >>>>> AdvWare.Win32.SaveNow.bo
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0340595.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0350980.exe >>>>> AdvWare.Win32.RuPorn.d
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0350981.dll >>>>> AdvWare.Win32.BHO.kj
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0351174.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352105.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352434.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352435.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys
Прямое чтение C:\WINDOWS\system32\drivers\dtscsi.sys
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
C:\WINDOWS\Wdj63.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 134025, извлечено из архивов: 78993, найдено вредоносных программ 6, подозрений - 3
Сканирование завершено в 28.12.2007 17:02:17
Сканирование длилось 00:15:10
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info


Лог в обычном режиме

Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 28.12.2007 17:05:52
Загружена база: сигнатуры - 141572, нейропрофили - 2, микропрограммы лечения - 55, база от 28.12.2007 16:36
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 68055
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882FC4
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FD3
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C882FF1
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->7C882FE2
Детектирована модификация IAT: LoadLibraryA - 7C882FC4<>7C801D77
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 8549CB58 (297)
>>> Внимание, таблица KiST перемещена ! (804E2D20(284)->8549CB58(297))
Функция NtClose (19) перехвачена (805675D9->EB79AD00), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8056F063->F735CFE0), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F7350B00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805B3543->EB79AA20), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (805885D3->EB79AB90), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (80564B1B->EB79AE40), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8057F262->EB79B630), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (8056F76A->F73515DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F735D120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (805715E7->F789BCF0), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (805684D5->F735CFA4), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (8057459E->EB79A7B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryInformationFile (97) перехвачена (80572D12->EB79B2F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (8056F473->F73515FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtQuerySystemInformation (AD) перехвачена (8057CC27->EB79B430), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F735D076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8057F8D5->EB79B5E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationProcess (E4) перехвачена (8056C608->EB79D1F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F735C550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80575527->F7395D56), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSuspendThread (FE) перехвачена (805DC61B->EB79B590), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (8058AE1E->EB79B1C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 22, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 271
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\DAEMON Tools\SetupDTSB.exe >>>>> AdvWare.Win32.SaveNow.bo
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0340595.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0350980.exe >>>>> AdvWare.Win32.RuPorn.d
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0350981.dll >>>>> AdvWare.Win32.BHO.kj
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0351174.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352105.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352434.sys >>>>> Rootkit.Win32.Agent.pr
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0352435.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
C:\System Volume Information\_restore{0DF0E5A5-E57E-4056-89D6-88ACB277A493}\RP263\A0353512.exe >>>>> AdvWare.Win32.SaveNow.bo
Прямое чтение C:\WINDOWS\system32\drivers\atapi.sys
Прямое чтение C:\WINDOWS\system32\drivers\dtscsi.sys
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
C:\WINDOWS\Wdj63.sys >>> подозрение на Trojan-Downloader.Win32.Agent.ggt ( 0A167E32 0651A629 00230334 00240DA7 21760)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 112292, извлечено из архивов: 79361, найдено вредоносных программ 7, подозрений - 3
Сканирование завершено в 28.12.2007 17:44:10
Сканирование длилось 00:38:19
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Severny 28-12-2007 21:46 705907
Bondy, Чтиво интересное конечно, только ты не внимательно читаешь.
Нужно запаковать и выложить лог в формате *.htm, который создает AVZ.
Лог HijackThis будет текстовый.

Еще зайди в свойства системы и отключи Восстановление системы.
(Отключить Восстановление системы на всех дисках -- Применить -- ОК).
После этого нужно перегрузиться. У тебя опасное ПО в папках System Volume Information.
После лечения можно включить обратно.

Bondy 28-12-2007 22:33 705921
Спасибо, сейчас же сделаю.
Логи прикрепил в нужном формате (в архивчиках).

Запустил проверку AVZ. С лечением. Надо ли включать поиск каких-то там портов троянских программ? (UDP/IS кажется, или что-то вроде).

Лечить чем-нибудь еще? Ad-adware SE например...

:o на отметке 96% проверка перешла в стату "Не отвечает"...
Сейчас попробую еще раз...

Bondy 28-12-2007 23:56 705958
Отключил, полечил, не вылечил :( Все так же...

Djdfy 29-12-2007 07:12 706037
Bondy, однозначного ответа у меня нет, так как все антивири работают по разному, попробуй в нете най ти NOD32 AntiVirus 3.0.566 и им просканить.

Bondy 29-12-2007 11:57 706132
Сканирую НОДом. Долго... Мож хоть он найдет... иначе - веревка и мыло)

Djdfy 29-12-2007 14:33 706187
Bondy, Да не бери в голову, если так тяжнло мож легче просто переустановить винду?

Bondy 29-12-2007 14:55 706201
Проверил НОДом. Теперь комп в обычном режиме зависает при смене языка, вводе символа в окно пароля, или попытку выключить корректно. Похоже ты прав, Прощай любимая Винда моя, и снов аздравствуй...

Djdfy 29-12-2007 17:25 706270
Bondy, но нод хотя бы что то нашел?

Bondy 29-12-2007 19:13 706301
Похоже, нет... Он отсканил только в безопасном - обычный теперь недоступен...

Djdfy 29-12-2007 19:40 706310
Bondy, Попробуй сделать восстановление системы, загрузись и проверяй.

Erekle 30-12-2007 02:46 706448
Bondy, по логу HT с первой страницы:

O23 - Service: HTTPFilter - Unknown owner - C:\WINDOWS\rag.pif - явно нужно удалить.
O2 - BHO: RuPass module - {954A0637-9147-4b5e-964E-9F20E58FC29D} - C:\Program Files\RuPass\RuPass.dll - у вас эта защита установлена? Если сами не ставили, тогда подозрительно.
O4 - HKLM\..\Run: [License] locker.exe - явно вирус - если сами не ставили такую программу (файл можно найти пойском).
O15 - Trusted Zone: *.ssaabb.com - туда и звонит, наверное. Уберите оттуда.
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe - отъявленный. Поищите svchost.exe в папке(-ах) ниже System32.

По логу AVZ:

C:\WINDOWS\system32\mobilev.acm - вроде как вирус.
C:\WINDOWS\System32\Drivers\dump_nvata.sys - может пасть подозрение, может и нет.
.sys - что за чертовщина?
C:\DOCUME~1\9335~1\LOCALS~1\Temp\Amsmpu4p.sys - может быть легальным, но почему в Темп-е?
Про rag.pif AVZ явно прав, :) а по C:\WINDOWS\Wdj63.sys - видимо тоже. Сообщение о таком файле одно на весь интернет - ваше. :) Но раз файловый сканер сомневается насчет конкретнего зловреда, можно прислушаться.
(любой удаляемый файл можно сохранить на всякий случай в запароленном архиве)

(Cпрашивали о том же в сообществе microsoft. Ничего не решили - лень, наверное.)

Bondy 30-12-2007 13:50 706556
Спасибо, сейчас все проделаем, но Винду все равно переустановлю - уже больше года не переустанавливал, пора бы уже. Хотя бы для профилактики...

З.Ы. Вылечил. только mobilev.acm из безопасного режима удаляться не хотел, но из обычного только засвистело. вирус больше не беспокоит, сейчас запроверяю всю систему до потери сознания, и нормально) Винду переустанавливать все-таки не буду, я тут подкмал - а с чего это меня осенило ее переустанавливать? И не смог понять... :)

Огромное спасибо всем, кто помогал (или хотя бы пытался помочь) мне в этой теме.

З.Ы. Скорее всего I`ll be back ))


Время: 16:24.

Время: 16:24.
© OSzone.net 2001-