Проверка после лечения

[занозыч]

Приветствую.

Залез на форум с таким вопросом http://www.softboard.ru/index.php?showtopic=63430

Посоветовали обратится суда.

Провёл лечение по Вашей методике,вследствии чего были получены вот такие данные.

Завсегдатаи,провертьте плиз,может тогда всё встанет на свои места.

____________.rar

____________.rar

[edde]

Здравствуйте.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('globalroot\systemroot\system32\userinit.exe','');QuarantineFile('C:/Documents and Settings/Adm/Главное меню/Программы/Автозагрузка/siszyd32.exe','');DeleteFile('C:/Documents and Settings/Adm/Главное меню/Программы/Автозагрузка/siszyd32.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(19);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина проверьте на http://www.virustotal.com/ru/ и сообщите результаты.

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[занозыч]

Можно по русски ничего непонял:

1.Выполнить скрипт как я понимаю поставить галочку в нужном месте(по вашей проверке),что есть код ?

2.Ещё одна тема поднялась,второй комп заразился при моих движениях с первым системником,скорее всего через роутер по локалке, браузеры все жестко тормозят:

-НОД32 ничего не нашол,утилита Зайцева тоже,но доктор веб в безопасном режиме при принудительном сканировании где то в середине работы вылетает в синий экран и в перезагрузку,пробовал в обычном режиме,принудиловка проходит ничего не найдено,но при полном сканировании примерно там же посреди работы вылетает ошибка приложения доктора и он слетат,вот такие пироги.

Чем лечить тогда данную машину?

[занозыч]

добавка,щас после того как второй раз слетел доктор(в обычном режиме),решил перезагрузить машину.

результат Синий экран падения системы

Пы Сы хорошо что сам востановился.

[edde]

1 Как выполнить скрипт в AVZ:

http://www.softboard.ru/index.php?showtopic=51986

2 Думаю лучше отключите машины от сети на время лечения. Сделайте логи для каждой машины отдельно.

3 скачайте http://www.freedrweb.com/livecd/ запишите iso образ и проведите проверку

[миднайт]

+ к edde.

В HiJackThis пофиксите:

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,

[занозыч]

Почитал Ваши советы,щас не до этого завтра постараюсь сделать.

Ещё может вам что то скажет незнаю даже як обозвать эту канитель(мне показалось подозрительно,когда раньше пользовался этой прогой,ничего подобного не видел,тем более в таком количестве).Происхоит на второй машине(где браузеры тормозят).

Наткнулся на прогу CurrPorts,запустил,что я там увидел:

1.две проги utorrent и служба антика ekrn.exe,ровно пополам,забили строк 160,а портов 80,причём как

в этой проге есть(ну наверно вы вкурсе) много колонок,дак бросились в глаза две

-lokal port

-remote port

в чём прикол:

у одной проги (занимает 80 строк) одинакавая цыфра( 1 ) в колонке lokal port,в др. колонке ,в каждой строке разные цыфры (4,6,8).

у др. проги (занимает 80 строк) этаже цыфра ( 1 ) в remote port и те же цыфры (4,6,8) в lokal port

т.е. всё ровно наоборот(сдесь цыфры преведены образно).

Разве так должно быть ?

Кроме этого очень много тупо открытых портов на разные IP шники,не меньше 50-ти(причём номера всех открытых портов переваливает за 2000).

Всю эту канитель вручную закрыл,тормоза браузеров исчезли сразу.

[занозыч]

edde: По вашему совету(юзал вторую машину,которая не выкл,собствено из-за которой попал суда) выполнил первый скрипт,помню там что то красное промелькнуло и машина ушла в перезагрузку,НО она самостоятельно выполнять данное действие не умеет(описано в первом сообщении в ссылке),соответственно выкл принудительно,после выпонил второй скрипт машина сказала,выполнен без ошибок,ну что то такое,после залез в карантит там пусто,т.е. отправлять нечего,может из-за неправильной перезагрузки такая канитель произошла ?.

Прикрепляю лог от Gmer.

Пы Сы: про порты,скажете чего?,может есть прога которая следит за ними по ручным настройкам,ну или что то подобное,а то работать невозможно пока порты лишние не закроешь,этой машиной пока не занимался,время жуть как мало.

1.log

1.log

[edde]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service cwanjgmer.exe -del service pwbuzadgmer.exe -del service tufgiagmer.exe -del file "C:\WINDOWS\system32\qsuszum.dll"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cwanj"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cwanj"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\cwanj"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pwbuzad"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pwbuzad"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\pwbuzad"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tufgia"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tufgia"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\tufgia"gmer.exe -reboot

Компьютер перезагрузится

Повторите логи авз

Изменено 23 декабря, 2009 пользователем edde

[занозыч]

edde ,всё прошло анолгогично,только в AVZ\Backup организовались два вот таких файла(в карантине пусто,красноты было много).

Пы Сы: логи и скрипты есть одно и тоже?

_____.rar

_____.rar

[edde]

Нет, логи это то что вы предоставили в первом посте - файлы архивов из папки log virusinfo_syscheck.zip и virusinfo_syscure.zip

[занозыч]

Понято.

Пы Сы: файл cleanup.bat сохранил с заданым расшерением в папке с экзешником.

LOG.rar

LOG.rar

[akoK]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[занозыч]

3 скачайте http://www.freedrweb.com/livecd/ запишите iso образ и проведите проверку

Можно поподробнее,ничего не понял.Для USB и CD пошагово,поодельности плиз.Читал инструкцию,был на ихнем форуме,всё также просто описано что ничего не понятно.

Где,какой образ(его создавать надо? из каких файлов?),или он тут есть?

[edde]

Можно поподробнее,ничего не понял.Для USB и CD пошагово,поодельности плиз.Читал инструкцию,был на ихнем форуме,всё также просто описано что ничего не понятно.

Где,какой образ(его создавать надо? из каких файлов?),или он тут есть?

Записать образ можно нерой, алкоголем или бесплатной http://soft.softodrom.ru/ap/CDBurnerXP-p2063 , как? - http://www.softboard.ru/index.php?showtopic=61392 во второй части поста (ниже :))

НО

предварительно выполните задание akoK, лог комбофикса прикрепите пожалуйста к следующему сообщению.

[занозыч]

edde: я малость не так выразился,создавать вроде умею,вопрос в том из чего,я по той ссылке,файлов для мини винды не обнаружил(уже создавал Live СD,там совсем другие файлы были,кстати он есть,можно ли с него загрузится и запустить веб с флешки? во как),вот и спрашиваю какие файлы из скачаных по той ссылке в образ пихать,вроде так )).

[edde]

Iso образ файла для cd вы можете записать на флешку при помощи ultraiso, наоборот - не знаю, не пробовал :)

прямая ссылка minDrWebLiveCD-5.0.1.iso

[занозыч]

Логи комбо в студию.

1-ый лог,с компа который не выкл.

2-ой лог,со второй машины которая в синий экран при проверке вебом вылетает.

Пы Сы: с тормозами браузера на 2-ой машине вроде разобрался,но может тупо конечно,просто выключаю uTorent,мне показалось что нод32 его движения просто проверяет и из-за этого вылавливаю тормоза,ставил эту прогу в исключения не помогает,приходится отключать.

2_log_ComboFix.rar

1_log_ComboFix.rar

2_log_ComboFix.rar

1_log_ComboFix.rar

[akoK]

По первому компьютеру

c:\windows\system32\drivers\tcpip.sys - проверить на VT

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::File::c:\windows\system32\qsuszum.dllc:\documents and settings\Adm\Главное меню\Программы\Автозагрузка\siszyd32.exec:\windows\pss\siszyd32.exeNetSvc::cwanjtufgiapwbuzadDriver::cwanjpwbuzadtufgiaeluvkacwanjtufgiapwbuzadFolder::Registry::[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tufgia][-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\pwbuzad][-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\cwanj][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"4421:TCP"=-FileLook::c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Gamma Loader.exeDirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[занозыч]

Резултат готов,ещё отчёт с вируслаб,ничего из него не понял.

Пы Сы: что по второй машине?

1.rar

1.rar

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::File::Driver::Folder::Registry::[-HKLM\~\startupfolder\C:^Documents and Settings^Adm^Главное меню^Программы^Автозагрузка^siszyd32.exe]FileLook::DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

По второму компьютеру какие проблемы?

[занозыч]

akoK: будь любьезен,посмотри начало этой темы,3-4 сообщение.

[занозыч]

akoK як заказывали.

немогу понять как нод выгрузить?тупо с автозагрузки убираю,но комбо ругается и само выключает.

log_1.1.rar

log_1.1.rar

[занозыч]

Апну темку

[akoK]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

И логи AVZ повторите.