Что это было?

[sniff]

Доброго времени суток!Случилось у меня вот что.Включаю я ноутбук,а вместо загрузки на синем экране мне выдаётся информация содержащая адреса сайтов и т.д.,хуже всего то,что иногда проскакивали строки типо:...........$130.Когда всё прошло комп загрузился и всё...После этого я проверил и просканировал ноутбук Dr.Web,Spiware Doktor,AVZ und HiJaсk...Доктор веб нашёл из существенного 2 проги взлома я их удалил,ну и несколько инфецированных файлов(отправил в карантин),второй доктор взломы не видел(хоть им сканил первым),но зато с его помощью убил кучу вирусов..вот что выдал AVZ:Сканирование запущено в 26.12.2007 16:19:02

Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43

Загружены микропрограммы эвристики: 371

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 66967

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082680)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559680

KiST = 804E26A8 (284)

Функция NtConnectPort (1F) перехвачена (8058A800->82DE2E60), перехватчик не определен

Функция NtOpenProcess (7A) перехвачена (80572D06->82D9F008), перехватчик не определен

Функция NtOpenThread (80) перехвачена (8058C806->82D7AF68), перехватчик не определен

Проверено функций: 284, перехвачено: 3, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F460316D] E:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F4602FC2] E:\WINDOWS\System32\drivers\Haspnt.sys, драйвер опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 39

Количество загруженных модулей: 376

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение E:\Documents and Settings\n\Local Settings\Temp\~DFAD2A.tmp

Прямое чтение E:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешены терминальные подключения к данному ПК

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

9. Мастер поиска и устранения проблем

Проверка завершена

Просканировано файлов: 97119, извлечено из архивов: 76493, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 26.12.2007 16:30:24

Сканирование длилось 00:11:24

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

лог от HiJack прилагаю ниже,но всё это после сноса мусора другими "Докторами"...Можно ли считать,что от вирусов удалось избавиться,и что случилось перед загрузкой,а также что за сумма в 130$ которая повторялась в нескольких строках,то есть не пришлют ли мне АЦкий счёт за что-то,сразу скажу нигде не регистрировался и ничего не покупал,а также ничего не скачивал...Спасибо за ответ...

hijackthis.log

hijackthis.log

[Pili]

sniff:

Выполните сканирование вашего компьютера, как указано здесь

Пофиксите

O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)

найдите файл E:\WINDOWS\System32\00THotkey.exe и проверьте его на virustotal.com

Скачайте Новую версию HijackThis

Если сохранился лог AVZ сканирования и лог исследования системы (в папке AVZ\LOG), заархивируйте и выложите здесь.

Если логи не сохранились, выполните следующее:

Закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

[rubin-VInfo]

Лог AVZ нужен в формате html

[sniff]

Пофиксите

Цитата

O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)

не совсем понял..тоесть удалить её...

найдите файл E:\WINDOWS\System32\00THotkey.exe и проверьте его на virustotal.com

проверил,результат 0/32...вроде ничего не найденно...с остальным всё хуже в компах,я увы профан...и сомневаюсь,что всё сделаю правильно...а что вообще всё это было?...сейчас вроде всё работает нормально...и не пришлют ли мне счета на энскую сумму...

[Pili]

sniff:

Пофиксить это запустить файл hijackthis, нажать кнопочку "Do a system scan only", в открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked"

Где логи?

[sniff]

Пофиксить это запустить файл hijackthis, нажать кнопочку "Do a system scan only", в открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked"

cделал....с логами трудности...при обнавление баз AVZ,пишет что ошибка в загрузке одного файла и не обновляет...

[Pili]

sniff: там можно выбрать сервер обновлений из списка, если не получится, давайте логи без обновления баз

[sniff]

Вот что получилось...жду приговор

virusinfo_cure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_cure.zip

virusinfo_syscheck.zip

hijackthis.log

[Pili]

д.б virusinfo_syscure.zip (после скрипта №3 "Скрипт лечения/карантина и сбора информации..."), а не virusinfo_cure.zip

[sniff]

перепутал...вот...

virusinfo_syscure.zip

virusinfo_syscure.zip

[Pili]

Выполните скрипт

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('E:\Program Files\Multi Password Recovery\MPR.v0.2.x.beta.patch.exe','');

BC_QrFile('Simbad.sys','');

BC_QrFile('E:\Program Files\Multi Password Recovery\mpr_freader.sys','');

BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS','');

BC_QrFile('Eveacd.sys','');

BC_ImportAll;

BC_Activate;

RebootWindows(true);

end.

полученный карантин с паролем virus выложите на ifloder.ru или другой файлообменник.

рекомендую деинсталлировать Multi Password Recovery

Spyware Doctor +Symantec+PC Tools не конфликтуют?

[sniff]

Выполните скрипт

Я так понимаю,это снова надо делать в AVZ?Объясните "тупому" если можно по-шагово как это сделать...

полученный карантин с паролем virus выложите на ifloder.ru или другой файлообменник.

результат первого действия(то есть папку с вирусом) нужно положить на этот сайт,и забыть про неё?

рекомендую деинсталлировать Multi Password Recovery

а можно её тоже в карантин вставить,не помню для чего она,эта программа

Spyware Doctor +Symantec+PC Tools не конфликтуют?

да вроде нет...Spyware Doctor

,использую только в качестве сканера,и немедленного уничтожения всякой гадости(теперь делаю это посдле каждого захода в сеть).Symantec-это Нортон антивирус,так понимаю...он раньше стоял(у первого пользователя)пока не накрылся(теперь пароль требует,а я его незнаю),так что он вне игры...PC Tools,это я незнаю что...

[Pili]

В AVZ файл выполнить скрипт, в окно методом copy/paste вставить скрипт

Файл с карантином увидите в папке AVZ\Quarantine

Multi Password Recovery деинсталировать стандартно, тут о нем.

пароль стандартный(если корпоративный) - symantec

PC Tools

Кстати при выполнении логов Антивирусы не отключали? Надо выключать.

[sniff]

В AVZ файл выполнить скрипт, в окно методом copy/paste вставить скрипт

То есть,вот это-begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('E:\Program Files\Multi Password Recovery\MPR.v0.2.x.beta.patch.exe','');

BC_QrFile('Simbad.sys','');

BC_QrFile('E:\Program Files\Multi Password Recovery\mpr_freader.sys','');

BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS','');

BC_QrFile('Eveacd.sys','');

BC_ImportAll;

BC_Activate;

RebootWindows(true);

end.

просто перенести туда,а дальше что нажать загрузить,сохранить или запустить?

[rubin-VInfo]

Вставьте вот этот код в AVZ - Файл - Выполните - Запуск

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('E:\WINDOWS\System32\Drivers\Eveacd.sys','');QuarantineFile('E:\_NS2500\Crack\SENTEMU.SYS','');BC_ImportQuarantineList;BC_QrFile('E:\WINDOWS\System32\Drivers\Eveacd.sys');BC_QrFile('E:\_NS2500\Crack\SENTEMU.SYS');BC_Activate;RebootWindows(true);end.

Затем

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip из папки AVZ положить на slil.ru или прочий файлообменник и ссылку сюда...

Pili:

BC по имени файла не работает, Simbad - легитимный файл :D

[Pili]

запустить, компьютер перезагрузится

[Pili]

BC по имени файла не работает - такая фича, как автоматический поиск файла не предусмотрен (нельзя реализовать)? :D

[sniff]

окно методом copy/paste вставить скрипт

только не смейтесь-это как?

[sniff]

а в ручную вбить-это можно?

[sniff]

и ещё как избавиться от лишних языков в клавиатуре?....

рекомендую деинсталлировать Multi Password Recovery

а оно вообще сильно надо?

[Pili]

Скопировать скрипт, выделив мышкой и нажать ctrl+C? вставить (ctrl+V) в окно выполнения скрипта в AVZ

Если не пользуетесь Multi Password Recovery, то лучше удалить.

[sniff]

cкопировал нажал ЗАПУСТИТЬ-она пишет:Ошибка Too many actual parameters в позиции 5:10

[Pili]

sniff: выполни скрипт из 15 поста этой темы

sniff: выполни скрипт rubin-VInfo

[rubin-VInfo]

BC по имени файла не работает - такая фича, как автоматический поиск файла не предусмотрен (нельзя реализовать)? :)

QuarantineFile еще поиск ведет, DeleteFile и BC уже нет... Вроде не собираются вводить :)

[Pili]

QuarantineFile еще поиск ведет, DeleteFile и BC уже нет... Вроде не собираются вводить :)

Ну с DeleteFile понятно почему нельзя вводить, с ВС можно было бы (иногда только по имени файла в логах видно, приходится только интуитивно по вероятному расположению файла искать), но технически реализовать наверное трудно (это значит пытаться запустить поиск до старта основных сервисов и зловредов)... а было бы не плохо )