Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Остатки троянчиков. (http://forum.oszone.net/showthread.php?t=184220)

Ordo 30-08-2010 12:35 1484778
Остатки троянчиков.
 
Вложений: 1
Ноутбук с симптомами "не загружается" Windows XP SP3 Pro
После беглого осмотра выяснил, что система загружается до момента загрузки драйвера isapnp.sys, а дальше ступор.
Удалил в папке %SystemRoot%\Sysyem32\drivers "драйвер" с нулевой длинной, из-за которого и стопорилась загрузка.
И в итоге вывалилось в BSOD:

STOP: c000021a {Fatal System Error}
The Windows Logon Process system process terminated unexpectedly with a status of 0xc0000005 (0x00000000 0x0000000)
The system has been shutdown.

Покопался немного в реестре (удалили лишнее в Image File Formats, а так же поправил ключи запуска userinit и еще чего-то).
ОС загрузилась. Вот такая вот история болезни.
Прошу добить остальное, что тут водится\осталось.

Arbitr 30-08-2010 13:04 1484796
проверьте на virustotal.com
C:\Windows\System32\Drivers\Parport.SYS" размер=81920, а должен иметь 76.032
размерчик бывает разный, в зависимости от версии Виндос но на всяк случай
HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - (no file)
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\Temp\odmujra.exe','');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 DeleteFile('C:\Windows\Temp\odmujra.exe');
 DeleteFile('c:\windows\tasks\odmujra.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
сделайте плиз лог RSIT

Ordo 30-08-2010 14:00 1484837
Вложений: 3
Цитата:
проверьте на virustotal.com
C:\Windows\System32\Drivers\Parport.SYS" размер=81920, а должен иметь 76.032
размерчик бывает разный, в зависимости от версии Виндос но на всяк случай
Чисто, без единого подозрения.

Arbitr 30-08-2010 14:17 1484854
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
QuarantineFile('C:\5fn472x4.exe','');
 DeleteFile('C:\5fn472x4.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

удалить с помощью MBAM
Код:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\synsend (Trojan.Agent) -> No action
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
C:\Documents and Settings\Артем\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Tasks\error scan.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
удалить вручную если она еще будет
C:\Program Files\Common Files\wm
скачать и установить explorer 8 даже если вы им не пользуетесь
сменить все важные для вас пароли!

повторить RSIT

Ordo 30-08-2010 14:44 1484871
Вложений: 2
Да, руткит не самая приятная вещь...

Arbitr 30-08-2010 15:48 1484927
заражения больше не наблюдаю
обновите квик тайм еще ваш
как сейчас работает система? если все гуд отмечайте решенной, и придет от касперского на первый скрипт запостите его пож.

Ordo 30-08-2010 15:59 1484941
Система работает на первый взгляд стабильно. Низкий поклон вам.
Ответ запостю, если он конечно придет -- бывало не приходил.


Время: 11:03.

Время: 11:03.
© OSzone.net 2001-