прошу изучить логи

[lamauser]

уезжал на две недели..вот вернулся..дай думаю посмотрю че натаскали, обновил базы, прошолся доктор вебом, адаваркой,авз и спайботом, пачку заразы вроде вынесло, единственное что нтос удалить не получилось, поэтому было решено применить спец девайс SDFix :)

одноко и тут были удалено сопутствующие аудио и видио дллки, сам же нтос.ехе удаляться не захотел

поэтому был задействован мега чит

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

вроде помогло

однако при изучении последующих логов возникают ряд вопросов....

для примера

F2 - REG:system.ini: UserInit=userinit.exe, :D

C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял...

G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска

C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок :)

\SystemRoot\System32\Drivers\aaqzar0q.SYS :D

SystemRoot\System32\Drivers\dtscsi.sys это вроде от даймон тулза....но его вроде нет на компе :)

C:\WINDOWS\System32\Drivers\sptd.sys :)

вообщем прилагаю логи, смотрите, комментируйте ;)

[ser208]

F2 - REG:system.ini: UserInit=userinit.exe,

Пофикси. Но ничего страшного.

C:\PROGRA~1\DrWeb\spiderui.exe..вот ентот момент вообще не понял...

Что тебя смутило? Сокращение Program Files?

G:\dBpoweramp\звук\dBShell.dll-спрашивается чаво енто дело запускает не с системного диска

C:\WINDOWS\system32\CmdLineExt03.dll--вот чую что непорядок

Мультимедийные штучки...

\SystemRoot\System32\Drivers\aaqzar0q.SYS

Скорее всего рабочий драйвер AVZ.

Остальное драйвера от виртуальных устройств.

Чисто вообщем.

Изменено 27 ноября, 2007 пользователем ser208

[lamauser]

Пофикси. Но ничего страшного.

сделаем

Что тебя смутило? Сокращение Program Files?

Ну да..почему часть прописано полностью

C:\Program Files\DrWeb\SpiderNT.exe

а тут бац и

C:\PROGRA~1\DrWeb\spiderui.exe

ну раз так положено, значит ладно

Чисто вообщем.

звезда в шоке(с) :g:

[rubin-VInfo]

\SystemRoot\System32\Drivers\aaqzar0q.SYS

Это драйвер от Алкоголя

[ser208]

\SystemRoot\System32\Drivers\aaqzar0q.SYS

Это драйвер от Алкоголя

Ну да! С чего ты решил?

[Saule]

Ну да! С чего ты решил?

Тоже склоняюсь к тому, что aaqzar0q.SYS принадлежит AVZ.

C:\PROGRA~1\DrWeb\spiderui.exe

ну раз так положено, значит ладно

звезда в шоке(с) :blush2:

Это называется короткими именами в формате DOS ("8+3" - 8 символов имя файла/каталога + 3 символа расширение после точки).

Более длинные названия в DOS просто не поддерживались. Поэтому некоторые программы до сих пор записывают в реестр имена и пути в таком старом формате (часто, но далеко не всегда, это связано с ошибками в этих программах).

Т.е. C:\PROGRA~1\DrWeb\ = C:\Program Files\DrWeb\ (попробуй ввести первый путь в строку проводника и убедиться).

[rubin-VInfo]

Даемон тулз и Алкоголь создают случайные файлы a???????????.sys в этой директории. Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске.

А у AVZ драйвер немного другой - что-то на u????????.sys, только тут определенный драйвер, не меняющий название, просто сейчас не могу точно сказать

Поправить пост не смог... в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :blush2:

[lamauser]

Если сделать 2 разных лога в разное время, то мы увидим, что так и будет - старый файл исчезнет, появится новый по этой маске.

в-общем, если видим sptd.sys, то непонятный файл a??????????.sys - это нормально :)

да действительно

aaqzar0q.SYS ---->amvvvpny.SYS

sptd.sys меня привлек только тем что он красный в осам :)

to Saule

я знаком с DOS именами, просто сначала прграмма указывает обычный путь..потом сокращенный, еслиб это были разные программы яб даже и не заметил наверное ;)

всем спасибо за участие, остаеться радоваться, что тревога ложная :)

[Форматцевт]

Saule: прошу проверить лог джека (ПМ послал, но мало ли не дошло оно :bye1: )

Комп после "отлова" червя (комп не мой):

Virus.Win32.HLLP.Rosec («Лаборатория Касперского») также известен как: Win32.HLLP.Rosec («Лаборатория Касперского»), W32/Sality.c (McAfee), W32.HLLP.Rosec (Symantec), Win32.HLLP.Sector.16608 (Doctor Web), W32/Sality-C (Sophos), Win32/Sality.F (RAV), PE_ROSEC.A (Trend Micro), W32/HLLP.Rosec (H+BEDV), W32/Rosec (FRISK), Win32:Rosec (ALWIL), Win32/Rosec.A (Grisoft), Win32.HLLP.Rosec.C (SOFTWIN), W32/Sality.C (Panda), CRYPT.WIN32 (Eset)

или как его индифицировал Doctor Web - Win32.HLLP.Sector

Лог прилагается. hijackthis.log

ЗЫ Может это и не червячок, я ч.слово не уточнял.

hijackthis.log

[rubin-VInfo]

Скачайте AVZ и выполните в нем скрипт (Файл - Выполнить скрипт - Скопировать этот код - Вставить - Запуск)

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\bhoSearchSpy.dll','');DeleteFile('C:\WINDOWS\system32\bhoSearchSpy.dll');BC_ImportAll;DelBHO('F5BDC469-1EC5-4193-824B-2E209993D183');ExecuteSysClean;RebootWindows(true);end.

А так как у Вас уже будет AVZ, то пришлите и его лог исследования :bye1:

[Форматцевт]

rubin-VInfo: я писал про джека, а не про AVZ + этот лог не мой, те комп принадлежит другому человеку. Так что нужен анализ этого лога, а не AVZ. Или пост не ко мне?

[rubin-VInfo]

К Вам. По результатам Вашего hijack лога я и написал скрипт, который нужно выполнит в AVZ...

Либо вручную:

1. Удаляете C:\WINDOWS\system32\bhoSearchSpy.dll

2. Пуск - выполнить - regedit

3. Ищите по реестру F5BDC469-1EC5-4193-824B-2E209993D183 и удаляете найденные ключи...

Но AVZ сделает все это быстрее и качественнее

[Форматцевт]

rubin-VInfo: спасибо, я лучше передам инструкцию, пусть человек сам разбирается