[решено] Контрольная проверка после сканирования Cureit

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Контрольная проверка после сканирования Cureit (http://forum.oszone.net/showthread.php?t=116237)

zhefran

04-09-2008 16:10 890928

Контрольная проверка после сканирования Cureit

Вложений: 1

Просканировал комп Cureit. После этого с первого раза не запустилась ОС. Стало не доступным создание точек восстановления!
Вот логи:

Pili	04-09-2008 17:05 890979

Цитата:

Восстановление системы: включено

- выключите на время лечения.
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('D:\autorun.inf','');

 QuarantineFile('C:\autorun.inf','');

 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');

 DeleteFile('C:\WINDOWS\system32\ntos.exe');

 DeleteFile('C:\autorun.inf');

 DeleteFile('D:\autorun.inf');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на newvirus[at]kaspersky.com, когда придет ответ, сообщите результаты.

Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=""

Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Повторите логи virusinfo_syscheck.zip, hijackthis.zip

zhefran

05-09-2008 11:03 891476

Вложений: 1

Пока по указанному адресу электронной почты ничего не прислали выкладываю повторные файлы логи!

Pili	05-09-2008 12:38 891544

zhefran, по логам зловредов не вижу. Проблемы ещё наблюдаются?

zhefran

05-09-2008 12:44 891548

Цитата:

Цитата Pili

Проблемы ещё наблюдаются? »

Что самое обидное да!:(
При загрузке компа! После старта OS (сразу после бегунка) не отображается окно ввода логина и пароля для пользователя - отображается только черный экран с курсором. Приходиться загружать Операционку в безопасном режиме и только после этого обычная загрузка происходит нормально. А это согласитесь напряжненько каждый раз так делать. Вариант перестановки ОС меня не прельщает!:(

Severny

05-09-2008 13:05 891560

Попробуй этот скрипт.

Код:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

 SetServiceStart('gdrv', 4);

 DeleteService('gdrv');

 DeleteFile('C:\WINDOWS\gdrv.sys');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Если система по прежнему не загружается обычном режиме, посмотри логи ошибок в событиях системы
и приведи здесь.

zhefran

05-09-2008 13:21 891574

Цитата:

Цитата Severny

Попробуй этот скрипт.
Код:

Код:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

 SetServiceStart('gdrv', 4);

 DeleteService('gdrv');

 DeleteFile('C:\WINDOWS\gdrv.sys');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end

. »

Severny, проблема осталась!:(

Цитата:

Тип события: Ошибка
Источник события: LMS
Категория события: Отсутствует
Код события: 2
Дата: 05.09.2008
Время: 12:22:17
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: LUDMILA
Описание:
LMS Service cannot connect to HECI driver
===========================================
Тип события: Предупреждение
Источник события: MRxSmb
Категория события: Отсутствует
Код события: 3019
Дата: 05.09.2008
Время: 12:28:37
Пользователь: Н/Д
Компьютер: LUDMILA
Описание:
Перенаправитель не смог определить тип подключения.
Данные:
0000: 00 00 00 00 04 00 4e 00 ......N.
0008: 00 00 00 00 cb 0b 00 80 ....E..?
0010: 00 00 00 00 84 01 00 c0 ....?..A
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
=========================================

Я думаю, что проблема в первом сообщении!

Severny

05-09-2008 13:54 891612

Да, файл я тебе не совсем вредный, так скажем, удалил.
Ошибка - это вроде службы лицензирования Intel.
Попробуй поставить в "отключено" эту службу
Active Management Technology LMS Service
или скрипт.

Код:

begin

 SetServiceStart('LMS', 4);

end.

zhefran

05-09-2008 13:56 891618

Цитата:

Цитата Severny

Да, файл я тебе не совсем вредный, так скажем, удалил.
Ошибка - это вроде службы лицензирования HP. »

И что дальше?

Pili	05-09-2008 14:05 891627

Цитата:

Цитата zhefran

LMS Service cannot connect to HECI driver »

Попробуйте переустановить драйвера на Intel, напр. AMT Chipset Software см. Let us talk about HECI and LMS или поставить тип запуска службы LMS (Intel(R) Active Management Technology LMS Service) "вручную", поставьте тип запуска стандартных служб по умолчанию как тут, если не поможет выполните sfc /scannow или установите ОС в режиме восстановления см. тут
По восстановлению системы посмотрите тему Службы - [решено] Не запускается "Восстановление системы"

Давайте ещё проверим др. утилитами. AVPTool можете деинсталлировать.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту, после проверки скопируйте текст из из C:\Report.txt в сообщение, если лог окажется слишком большой, запакуйте C:\Report.txt и прикрепите архив к сообщению.

zhefran

05-09-2008 16:14 891729

Вложений: 1

Проблемы исчезли, после проверки утилитами которые были посоветованы!!!!
Если найдете еще что-то пишите!!!!!
Вот логи:

Pili	05-09-2008 16:46 891769

zhefran, по логу МВАМ

Цитата:

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\4n8z0Q.syz (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\winumzw.exe (Trojan.Agent) -> No action taken.
C:\A6.tmp (Trojan.Agent) -> No action taken.

Вы "Remove Selected" не забыли нажать после сканирования? Если забыли, повторите сканирование и не забудьте про кн. "Remove Selected"
Можете деинсталлировать combofix, пуск-выполнить - combofix /u

zhefran

05-09-2008 17:05 891783

Цитата:

Цитата Pili

Вы "Remove Selected" не забыли нажать после сканирования? »

Не забыл!!!
Сделать еще разок?

Pili	05-09-2008 17:52 891812

zhefran, Да, лучше с помощью МВАМ ещё раз просканироваться, но если еще не удалили combifix, то можно и так:
Скопируйте текст ниже к блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::

C:\WINDOWS\system32\wsnpoem\audio.dll

C:\WINDOWS\system32\wsnpoem\audio.dll.cla

C:\WINDOWS\system32\wsnpoem\video.dll

C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll

C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll

C:\WINDOWS\system32\4n8z0Q.syz

C:\WINDOWS\system32\tdssl.dll

C:\WINDOWS\system32\tdssinit.dll

C:\WINDOWS\system32\tdssservers.dat

C:\WINDOWS\system32\drivers\tdssserv.sys

C:\winumzw.exe

C:\A6.tmp



Folder::

C:\WINDOWS\system32\wsnpoem

C:\Documents and Settings\NetworkService\Application Data\wsnpoem

C:\Documents and Settings\LocalService\Application Data\wsnpoem

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix скопируйте и выложите текст из C:\ComboFix.txt

zhefran

05-09-2008 18:08 891817

Вложений: 1

Сейчас делаю с МВАМ!
Вот с Combofix:

zhefran

05-09-2008 18:34 891834

МВАМ больше ничего не нашел!

Pili	05-09-2008 18:57 891850

zhefran, поздравляю :) По логам combofix тоже ок. Проблемы ещё остались?

zhefran

05-09-2008 19:00 891851

Цитата:

Цитата Pili

Проблемы ещё остались? »

Нет! Спасибо тебе! :)

Pili	05-09-2008 19:05 891853

zhefran, пожалуйста, обращайтесь, если будут проблемы с вирусами :) Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге.

Время: 17:47.