Показать полную графическую версию : [решено] brastk.exe помогите избавится
делал ряд скриптов AVZ что поиском нашёл в гугле, помогает до поры до времени (т.е. через определённое время появляется снова)
выглядит всё след образом, перезагружается комп, после это ни каспер ни агнитум аутпост не запускаются, в трее висит красный крест и пишет что у вас вирус надо срочно скачать антивирус и удалить его. что именно он хочет скачать я не знаю. сейчас начались перебои с работой IE. тормозит, глючит, ряд ссылок подозрительно не открывается. сменил стартовую страницу на гугл - стоял яндекс
Radmin удалите через установку/удаление программ
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и отключите интернет.
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('HidServstisvc', 4);
QuarantineFile('C:\WINDOWS\karna.dat','');
QuarantineFile('C:\system.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aw4tp2n5.SYS','');
DeleteFile('C:\system.exe');
DeleteFile('C:\WINDOWS\karna.dat');
DeleteService('HidServstisvc');
BC_ImportDeletedList;
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\System32\Drivers\aw4tp2n5.SYS');
BC_DeleteSvc('HidServstisvc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - AppInit_DLLs: karna.dat
Очистите временные файлы с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Adobe Acrobat рекомендую обновить до посл. версии.
Повторите логи с отключенным KAV и Outpost (последний вообще рекомендую деинсталлировать, хотя бы временно - не сильно совместим с продуктами ЛК и мешает работе AVZ, если хотите можете включить встроенный брандмауэр Windows, хотя у вас ещё и NetworkAccessManager от NVIDIA установлен)
новые логи.
P.S. второй раз за сегодня в полях ввода текста (1 ый раз в браузере - ответ писал на форуме, 2 ой раз - в аське) выскакиевает мгновенно почти вот такая писанина - т.е. залипание клавишь исключаю т.к. очень быстро это появляется...
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
Здравствуйте,
Присланный Вами файл уже детектируется. Backdoor.Win32.Small.gjm
Пожалуйста, обновите Ваши базы.
>
> пароль на архив virus
>
>
С уважением, Татаринов Иван
Вирусный аналитик
тут тоже проблема у меня не хочет обновлятся касперский ! пишет что не возможно установить соединение.. я все файрволы отрубал... бестолку, в чём может быть причина ?
почему если я пингую сервера баз касперского то получаю пинг на себя ?
C:\Documents and Settings\user>ping http://dnl-06.geo.kaspersky.com/
Обмен пакетами с localhost [127.0.0.1] по 32 байт:
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Статистика Ping для 127.0.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
второй раз за сегодня в полях ввода текста (1 ый раз в браузере - ответ писал на форуме, 2 ой раз - в аське) выскакиевает мгновенно почти вот такая писанина - т.е. залипание клавишь исключаю т.к. очень быстро это появляется... »
еуые - это test - рез-т работы AVZ, но
На время выполнения скрипта выключите антивирус, firewall и отключите интернет. »
и как вы сидели в аське с выкл. интернетом?
Outpost рекомендую деинсталлировать, хотя бы временно - не сильно совместим с продуктами ЛК и мешает работе AVZ, если хотите можете включить встроенный брандмауэр Windows
Outpost остался и он включен. Выполните рекомендации, иначе - см. п.7 правил раздела.
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix), и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Присланный Вами файл уже детектируется. Backdoor.Win32.Small.gjm »
Какие файлы попали в карантин? Пришлите мне карантин на на user15802[at]mail.ru, в письме укажите ссылку на тему.
и как вы сидели в аське с выкл. интернетом? »
комп перезагрузился после первого прогона скрипта avz, и я снова вышел в инет что бы прочитать что делать дальше, я думал это важно именно на первом этапе. сейчас всё сделал по инструкции "аутпост" удалил. ссылки которые вы мне дали - у меня не открываются - сервер не найден. у меня часть сайтов антивирусной тематики просто не открывается, а если пустить на них пинг то пингую localhost. Файл hosts - вроде в этом не замешан ! подскажите в чём дело ? письмо вам отправил
foxbat, действительно в карантине karna.dat - Backdoor.Win32.Small.gjm
C:\system.exe - в карантин не захотел (явный зловред, но по новым логам его нет)
Подозрение, что у вас ещё руткит tdsserv, в обычном режиме AVZ его не видит.
Если получится, скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) - описание тут (http://www.saule-spb.ru/library/sdfix.html), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.
AVZ - AVZM - установить драйвер расширенного мониторинга процессов, перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ, он делается быстро)
Pili, у меня не открывается ни одна прямая ссылка на файл. сохранить объект как тоже не работает. если не трудно вышлите мне на мою почту (я вам уже писал - по обратному адресу). Кстати что за C:\system.exe у меня нет такого.
C:\system.exe »
Удален скриптом, даже если и был.
Где лог AVZ virusinfo_syscheck.zip с включенным AVZM?
приложил.
P.S. касперский периодически сообщает непонятное для меня:
22.11.2008 10:13:47 Программа C:\WINDOWS\system32\svchost.exe не может установить соединение с сервером 207.46.193.254. Проверьте параметры соединения с интернетом. Возможно, в установленном сетевом экране отсутствует разрешающее правило для приложения avp.exe.
Выполните скрипт
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\systemroot\system32\drivers\TDSSmhxt.sys','');
DeleteFile('\systemroot\system32\drivers\TDSSmhxt.sys');
DeleteService('TDSserv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('\systemroot\system32\drivers\TDSSmhxt.sys');
BC_DeleteSvc('TDSserv');
BC_Activate;
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Должен заработать интернет и антивирусные сайты, попробуйте провериться с помощью MBAM и Combofix и выложить их логи (см. выше)
карантин пришел, жаль TDSSmhxt.sys не попал, сделайте остальные логи пожалуйста и новый virusinfo_syscheck.zip
Компьютер перезагрузится. »
не перезагрузился :)
проверился MBAM
Malwarebytes' Anti-Malware 1.30
Версия базы данных: 1306
Windows 5.1.2600 Service Pack 2
22.11.2008 15:24:46
mbam-log-2008-11-22 (15-24-46).txt
Тип проверки: Полная (C:\|D:\|E:\|F:\|G:\|I:\|J:\|)
Проверено объектов: 295312
Прошло времени: 1 hour(s), 19 minute(s), 17 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 18
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
C:\Documents and Settings\Vovan\Рабочий стол\avz4\avz4\Quarantine\2008-11-20\avz00001.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Рабочий стол\avz4\avz4\Quarantine\2008-11-21\avz00001.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10806.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS6017.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS6b81.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Local Settings\Temp\TDSS66ff.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Local Settings\Temp\TDSS67ca.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS72f4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS78df.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS7fd4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS893b.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSScfub.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoexh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Quarantined and deleted successfully.
ComboFix 08-11-21.05 - Vovan 2008-11-22 15:42:49.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.585 [GMT 3:00]
Running from: c:\documents and settings\Vovan\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Vovan\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\Vovan\LOCALS~1\Temp\tmp2.tmp
c:\windows\system32\winlogon.exe . . . is infected!!
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TDSSSERV.SYS
-------\Legacy_VFILT
-------\Service_TDSSserv.sys
((((((((((((((((((((((((( Files Created from 2008-10-22 to 2008-11-22 )))))))))))))))))))))))))))))))
.
2008-11-22 13:59 . 2008-11-22 13:59 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-22 13:59 . 2008-11-22 13:59 <DIR> d-------- c:\documents and settings\Vovan\Application Data\Malwarebytes
2008-11-22 13:59 . 2008-11-22 13:59 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-22 13:59 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-22 13:59 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-22 13:11 . 2008-11-22 13:11 11,264 --a------ c:\windows\system32\drivers\uzmwntc2.sys
2008-11-20 10:41 . 2007-02-24 16:00 <DIR> d--h----- c:\documents and settings\Администратор\Шаблоны
2008-11-20 10:41 . 2007-02-24 16:00 <DIR> d--h----- c:\documents and settings\Администратор\Шаблоны
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Рабочий стол
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Рабочий стол
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Мои документы
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Мои документы
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> dr------- c:\documents and settings\Администратор\Главное меню
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> dr------- c:\documents and settings\Администратор\Главное меню
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Избранное
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Избранное
2008-11-20 10:41 . 2008-11-20 10:41 <DIR> d-------- c:\documents and settings\Администратор
2008-11-20 09:30 . 2008-11-21 12:01 527 --a------ c:\windows\system32\TDSSosvd.dat
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-22 12:48 13,423,904 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-22 12:47 194,360 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-22 12:47 17,084 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-11-22 12:47 104,736 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-11-22 10:52 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-20 17:40 --------- d-----w c:\program files\BeholdTV
2008-11-10 06:42 --------- d-----w c:\program files\QIP
2007-11-25 13:38 61 --sh--w c:\windows\cnerolf.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-29 171464]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-12-21 270336]
"VC5Player"="c:\program files\HHVcdV5Sys\VC5Play.exe" [2003-03-11 176128]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-03-14 257088]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
c:\documents and settings\Vovan\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
“бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Vovan^Главное меню^Программы^Автозагрузка^Инструмент проверки носителя Picture Motion Browser.lnk]
path=c:\documents and settings\Vovan\Главное меню\Программы\Автозагрузка\Инструмент проверки носителя Picture Motion Browser.lnk
backup=c:\windows\pss\Инструмент проверки носителя Picture Motion Browser.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 09:54 282624 c:\program files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-02-24 17:54 185896 c:\program files\Common Files\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R1 uzmwntc2;AVZ-RK Kernel Driver;\??\c:\windows\system32\Drivers\uzmwntc2.sys [2008-11-22 11264]
R1 vbev5mp;vbev5mp;c:\windows\system32\DRIVERS\vbev5mp.sys [2003-05-07 57008]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 SAA713x;Behold TV WDM Capture (SAA713x);c:\windows\system32\DRIVERS\saa713x.sys [2007-12-16 186512]
.
- - - - ORPHANS REMOVED - - - -
MSConfigStartUp-MSMSGS - c:\program files\Messenger\msmsgs.exe
MSConfigStartUp-Device Detector - DevDetect.exe
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-22 15:47:58
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
c:\windows\system32\rundll32.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\program files\Virtual CD v5\System\VC5Tray.exe
c:\windows\system32\nvsvc32.exe
c:\program files\HHVcdV5Sys\VC5SecS.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2008-11-22 15:50:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-11-22 12:50:00
Pre-Run: 454*164*480 байт свободно
Post-Run: 491,855,872 байт свободно
WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect
141
не перезагрузился »
команду перезагрузки забыл в скрипт вставить, но это не страшно :)
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
File::
c:\windows\system32\TDSSosvd.dat
c:\windows\cnerolf.dat
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение
У вас проблема гораздо серьезнее есть
c:\windows\system32\winlogon.exe . . . is infected!! »
c:\windows\system32\winlogon.exe - проверьте на virustotal.com, если заражен, выложите рез-т проверки или дайте ссылку, можете заменить файл, взять его с чистой системы или восстановить с установочного диска windows
Пуск-выполнить - cmd.exe
sfc /scannow, вставьте установочный диск и выполните восстановление системных файлов, после этого потребуется установить все обновления (SP3 и все обновления после него - http://windowsupdate.microsoft.com)
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и карантин от МВАМ (лежит в %userprofile%\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine) с паролем virus и пришлите мне на user15802[at]mail.ru
ComboFix 08-11-21.05 - Vovan 2008-11-22 17:03:41.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.680 [GMT 3:00]
Running from: c:\documents and settings\Vovan\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Vovan\Рабочий стол\CFScript.txt.txt
* Created a new restore point
FILE ::
c:\windows\cnerolf.dat
c:\windows\system32\TDSSosvd.dat
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\cnerolf.dat
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\winlogon.exe . . . is infected!!
.
((((((((((((((((((((((((( Files Created from 2008-10-22 to 2008-11-22 )))))))))))))))))))))))))))))))
.
2008-11-22 13:59 . 2008-11-22 13:59 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-22 13:59 . 2008-11-22 13:59 <DIR> d-------- c:\documents and settings\Vovan\Application Data\Malwarebytes
2008-11-22 13:59 . 2008-11-22 13:59 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-22 13:59 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-22 13:59 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-22 13:11 . 2008-11-22 13:11 11,264 --a------ c:\windows\system32\drivers\uzmwntc2.sys
2008-11-20 10:41 . 2007-02-24 16:00 <DIR> d--h----- c:\documents and settings\Администратор\Шаблоны
2008-11-20 10:41 . 2007-02-24 16:00 <DIR> d--h----- c:\documents and settings\Администратор\Шаблоны
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Рабочий стол
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Рабочий стол
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Мои документы
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Мои документы
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> dr------- c:\documents and settings\Администратор\Главное меню
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> dr------- c:\documents and settings\Администратор\Главное меню
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Избранное
2008-11-20 10:41 . 2007-02-24 18:54 <DIR> d-------- c:\documents and settings\Администратор\Избранное
2008-11-20 10:41 . 2008-11-20 10:41 <DIR> d-------- c:\documents and settings\Администратор
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-22 14:07 13,531,424 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-22 14:07 109,088 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-11-22 13:20 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-22 13:14 194,984 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-22 13:14 17,228 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-11-20 17:40 --------- d-----w c:\program files\BeholdTV
2008-11-10 06:42 --------- d-----w c:\program files\QIP
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-29 171464]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-12-21 270336]
"VC5Player"="c:\program files\HHVcdV5Sys\VC5Play.exe" [2003-03-11 176128]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-03-14 257088]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
c:\documents and settings\Vovan\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
“бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Vovan^Главное меню^Программы^Автозагрузка^Инструмент проверки носителя Picture Motion Browser.lnk]
path=c:\documents and settings\Vovan\Главное меню\Программы\Автозагрузка\Инструмент проверки носителя Picture Motion Browser.lnk
backup=c:\windows\pss\Инструмент проверки носителя Picture Motion Browser.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 09:54 282624 c:\program files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-02-24 17:54 185896 c:\program files\Common Files\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R1 uzmwntc2;AVZ-RK Kernel Driver;\??\c:\windows\system32\Drivers\uzmwntc2.sys [2008-11-22 11264]
R1 vbev5mp;vbev5mp;c:\windows\system32\DRIVERS\vbev5mp.sys [2003-05-07 57008]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 SAA713x;Behold TV WDM Capture (SAA713x);c:\windows\system32\DRIVERS\saa713x.sys [2007-12-16 186512]
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-22 17:07:30
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-11-22 17:08:35
ComboFix-quarantined-files.txt 2008-11-22 14:08:32
ComboFix2.txt 2008-11-22 12:50:15
Pre-Run: 462*401*536 байт свободно
Post-Run: 456,519,680 байт свободно
114
c:\windows\system32\winlogon.exe - проверьте на virustotal.com, если заражен, выложите рез-т проверки или дайте ссылку, можете заменить файл, взять его с чистой системы или восстановить с установочного диска windows »
нашло что то.. McAfee+Artemis 5441 2008.11.21 Generic!Artemis
нашло что то.. McAfee+Artemis 5441 2008.11.21 Generic!Artemis »
А не должен был (рез-т д.б. 0/37), отправьте файл на newvirus@kaspersky.com и замените файл с чистой системы или выполните восстановление системных файлов (как вариант - установить SP3, обновление должно заменить winlogon.exe)
В остальном по логам чисто.
отпправил вам карантины, забыл ссылку на тему указать... скажите а может ли проблема с обновлениями касперского быть связана с этим файлом ? до этого пинг шёл на меня, а сейчас вообще не идёт...
а может ли проблема с обновлениями касперского быть связана с этим файлом ? »
Проблема была связана с руткитом TDSserv и его модулями, после удаления проблема должна была исчезнуть, но то, что у вас winlogon.exe не оригинальный и патченнный (возможно зловред) тоже может влиять
В браузере (напр. firefox) на сайты www.kaspersky.com, www.drweb.com, www.microsoft.com заходит? С помощью CureIt проверялись?
За карантин спасибо, зловреды свежие, ушли в вир. лаборатории.
Попробуйте поставить SP3, KIS при этом желательно временно деинсталлировать KIS и после установки обновлений заново установить, проверьте после этого winlogon.exe на VT ещё раз
у меня сейчас нет возможности скачать sp3 (ограничен трафиком) - в ближайшее время озадачу друзей - скачают, а я поставлю. с помощью cureit не проверялся , на сайты заходит - норм. как решу проблему с winlogon сообщу вам, т.к. каспер так и не хочет обновлятся !За карантин спасибо, зловреды свежие, ушли в вир. лаборатории. »
вам большое спасибо за помощь !
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC