[Oldschool]

>Сделай лог и покажи здесь.

http://ifolder.ru/3556698

[Severny]

Сейчас в логе трудно разобраться, ничего подозрительного не видно, но он не полный. По какой-то причине Hijack не смог сделать полный лог.
Поэтому:
Скачай AVZ http://z-oleg.com/avz4.zip
Распакуй и обнови базы.
Перейди меню Файл--Восстановление системы.
Выполни пункты 2, 3, 6, 7, 9, 12, 13 и 16.
Сделай Файл--Исследование системы, запакуй и присылай.
Сделай новый лог Hijack.
Только выкладывай по возможности на zalil.ru

[Oldschool]

таки выбил заразу..

твоей прогой не удалось работать, но касперски ее заломал

deleted: virus Packed.Win32.PolyCrypt.b
File: c:\windows\system32\kdpkk.exe//PE_Patch.Poly//PE_Patch.Poly
(если это была она...)

зараза ппц

Спасибо за помощь!

[Nihal]

При попытке запустить HiJackThis_v2 что-то убивает процес вместе с эксплорером.
Еще интересней что то-же происходит не только при запуске, но даже если навести курсор на HiJackThis_v2.exe, а если написать в (скажем) IE (гугл) HiJackThis то IE закроется вместе с эксплорером.
То же происходит в безопасном режиме...

Пытался лечить NOD'ом и Др.веб'ом ( cureIt в том числе) ( и в безопасном режиме тоже ) + всякие анти спайвейр, стингеры, антитрояны итд.
Стоит Ad-Aware (free), не помню, правда, какая версия но не 2007.

Все это нашло несколько троянов/вирусов и вроде как вылечило...

Но собственно неизвестный сабж остался.

Правда я не делал онлайн проверку, так что, если можно, посоветуйте где ее лучше сделать (тему по этому поводу читал, но ресурсов слишком много. Что-то из собственного опыта подскажите)
Если кто-то сталкивался, подскажите что это может быть и как/чем его лечить.


З.Ы. Если на комп скопировать по сети офисный документ, то открыть его нельзя так как меняется расширение и форматировка (типа xls -> xlsx ). Может эта инфа поможет.
З.З.Ы. Стоит winAgent, но в процесах ничего подозрительного не видно.

Это все в сети из 8 компов в офисе которую нужно настроить ( туда никто не лазил более полугода : = ), как она еще работает незнаю).
Повсюду стоит Win XP SP2 и установленый мною нод32 ( ранъше стоял AVG которого я еще не встречал ).
Имеется апаратный роутер LinkSys wrt54g v.5.1 и два свича на два кабинета (не помню какие именно ).

[Greyman]

Цитата Nihal:

Правда я не делал онлайн проверку, так что, если можно, посоветуйте где ее лучше сделать (тему по этому поводу читал, но ресурсов слишком много. Что-то из собственного опыта подскажите) »

Судя по всему у тебя кто-то из руткитов сидит, а онлайн проверка ИМХО прктически против них безсильна (если они не совсем топорные и стандартные).

Попробуй воспользоваться AVZ и его стандартным скриптом сброса перехватов.
Ну и конечно остается оптимальный вариант - проверка компа антивирусом со свежими базами со стороннего насителя, например с LiveCD...

[Severny]

Nihal
Если получится, то выполни в AVZ
Файл -- Исследование системы.
Запакуй отчет и выкладывай сюда.
Попробуем разобраться.

[Nihal]

Ок. Завтра пойду туда снова.

[Nihal]

Вот собственно логи 1-ый до прикрепляю карантин.

После проверки с помощью авз попытался проверить др. вебом. Веб зависает в процесе проверки. Пытался удалять проблемные папки и файлы но терпения не хватило... Убил на эту "проверку" где-то часа 3.
Веб нашел что-то, нашел и удалил.

Потом я снес др.веб и поставил нод, обновил... Проверка нодом два раза сама закрылась процентах эдак на 30... ( ничего найдено не было )

Потом слетели все спецификации файлов, контекстные менюшки, настройки вида папок ( может еще что-то, не успел посмотреть ).
Спецификации восстановил из под безопасного режима...
А вот настройки папок не удается востановить, тоесть удается но только на пару сек. Потом "кто-то" их меняет обратно ( например запрет на показ скритых папок ). Изменение значений руками в регедите ничего не дает, так же как и запуск .рег файлов которые меняют эти значения.

Посмотрите логи и подскажите что делать.

Буду благодарен за инфу, которая научит анализировать лог авз самостоятельно.

З.Ы. хайджек так и не запускается ( переименование не помогло ).
З.З.Ы. Занят создание LiveCD, так как не знаю получится ли почистить этот комп из под него самого.

[igorgn]

Nihal, если редактор реестра не блокируется, попробуй повыключать всё лишнее с автозагрузки. Правда, много нужного там не будет, но всё же...

[Severny]

Отключи все антивирусы.
Открой AVZ -- Файл -- Выполнить скрипт. Вставь скрипт и нажми "запустить".

HTML код:

begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('RemoteRegistry', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 BC_DeleteFile('C:\WINDOWS\service32.exe');
 BC_DeleteFile('\\');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки зайди Файл-восстановление системы и выполни пункт 12.
После попытайся выполнить лог hijackthis. Если получился, то выкладывай.
Скачай ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe , запиши на болванку и выполни проверку в безопасном режиме с болванки.