Показать полную графическую версию : [решено] хозяйствует нечто: исчезают аудиоустройства системы, меняется рабочий стол
Доброго времени суток! :)
Господа, столкнулся с интересной (печальной) ситуацией.
обслуживается периодически ноут асус (чистка вирусов, установка ПО, мелочи). очередная заявка: пропадает звук и система жутко тормозит.
как обычно, проверил кьютИтом свежим - ничего... начал прибивать подозрительные процессы таскменеджером и мсконфигом.
наиболее подозрительный процесс nvCPL странным образом переписывался в автостарт и даже дублировался. некоторые закладки в свойствах рабочего стола заблокированы (см. логи)
в защищенном режиме нашел парочку троян дропперов и даунлоадеров кьюрИтом и еще пару касперского вирус римувал тулом (включая то, что было в карантине кьюрита).
вот еще что: ноут постоянно защищен дрВебом 4.44, базы обновляются регулярно (было обнаружено оставание в 2-3 дня, объясненные выходными).
далее сделал все по Вашим Правилам, даже пребдел (касперским ВРТ и АВЗ последовательно), логи прилагаю.
после всего система вроде бы работает нормально, даже исчез процесс nvCPL, но я что-то боюсь запускать приложения, т.к. в секции логов есть строки типа "перехватчик не определен".
прошу помощи всесильного сообщества! ;)
заранее спасибо и наилучшие пожелания!
p.s. изменил тип учетной записи с админ на "ограниченная" и установил пароль (ХР Номе). Отдельно создал админку со сложным паролем. правда, встроенный админ поставлен без пароля, но переустановка системы считается крайне нежелательной.
_Falcon_
23-06-2009, 15:29
Нужны логи AVZ в архивах (virusinfo_syscure.zip & virusinfo_syscheck.zip), их можно найти в папке лог в директории с AVZ.
_Falcon_, исправился (переприкрепил нужные файлы).
Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wineh25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winei58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfi25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfi58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhk58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winim36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winps25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqt47.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrv36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winva03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa47.sys','');
DeleteService('Winwa47');
DeleteService('Winva03');
DeleteService('Winuy36');
DeleteService('Winsx27');
DeleteService('Winrv36');
DeleteService('Winqt47');
DeleteService('Winps25');
DeleteService('Winim36');
DeleteService('Winhn26');
DeleteService('Winhk58');
DeleteService('Winfi58');
DeleteService('Winfi25');
DeleteService('Winei58');
DeleteService('Wineh25');
DeleteService('Winbe25');
DeleteService('xmlprovNVSvc');
DeleteService('WebClientALG');
DeleteService('TrkWksThemes');
DeleteService('SysmonLogPolicyAgent');
DeleteService('stisvcWebClientALG');
DeleteService('ShellHWDetectionose');
DeleteService('SharedAccessmnmsrvc');
DeleteService('RasManNetDDE');
DeleteService('MSIServerWmiApSrv');
DeleteService('MSIServerdmadmin');
DeleteService('MSDTCWebClient');
DeleteService('MDMSwPrvNetDDEdsdm');
DeleteService('MDMSwPrv');
DeleteService('lanmanworkstationSPIDERNT');
DeleteService('IrmonASWLSVCTrkWks');
DeleteService('helpsvcseclogon');
DeleteService('DhcpSSDPSRV');
DeleteService('DcomLaunchdmadmin');
DeleteService('BthServNetlogon');
DeleteService('BITSClipSrv');
DeleteService('ASWLSVCTrkWks');
QuarantineFile('? srv','');
QuarantineFile('р%Ђ|x srv','');
DeleteFile('р%Ђ|x srv');
DeleteFile('? srv');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwa47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winva03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrv36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqt47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winps25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winim36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhk58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfi58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfi25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winei58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineh25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbe25.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.
Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.
Пофиксить в HiJack
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Сделайте новые логи
thyrex, спасибо! все сделал. результаты прилагаются. только вот карантина не вышло: в папке карантин ничего, кроме пустой папки с именем текущей даты. так что касперскому вроде как и нечего слать...
_Falcon_
25-06-2009, 10:46
Карантин открепите, пожалуйста.
Выполните:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('ASWLSVCTrkWks');
DeleteService('BITSClipSrv');
DeleteService('BthServNetlogon');
DeleteService('DcomLaunchdmadmin');
DeleteService('DhcpSSDPSRV');
DeleteService('helpsvcseclogon');
DeleteService('IrmonASWLSVCTrkWks');
DeleteService('lanmanworkstationSPIDERNT');
DeleteService('MDMSwPrv');
DeleteService('MDMSwPrvNetDDEdsdm');
DeleteService('MSDTCWebClient');
DeleteService('MSIServerdmadmin');
DeleteService('MSIServerWmiApSrv');
DeleteService('RasManNetDDE');
DeleteService('SharedAccessmnmsrvc');
DeleteService('ShellHWDetectionose');
DeleteService('stisvcWebClientALG');
DeleteService('SysmonLogPolicyAgent');
DeleteService('TrkWksThemes');
DeleteService('WebClientALG');
DeleteService('xmlprovNVSvc');
DeleteService('ctneaf4');
QuarantineFile('C:\WINDOWS\System32\drivers\ctneaf4.sys','');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\System32\drivers\ctneaf4.sys');
BC_ImportAll;
BC_DeleteSvc('ctneaf4');
BC_DeleteSvc('WebClientALG');
BC_DeleteSvc('xmlprovNVSvc');
BC_DeleteSvc('TrkWksThemes');
BC_DeleteSvc('SysmonLogPolicyAgent');
BC_DeleteSvc('stisvcWebClientALG');
BC_DeleteSvc('ShellHWDetectionose');
BC_DeleteSvc('SharedAccessmnmsrvc');
BC_DeleteSvc('RasManNetDDE');
BC_DeleteSvc('ASWLSVCTrkWks');
BC_DeleteSvc('BITSClipSrv');
BC_DeleteSvc('BthServNetlogon');
BC_DeleteSvc('DcomLaunchdmadmin');
BC_DeleteSvc('DhcpSSDPSRV');
BC_DeleteSvc('helpsvcseclogon');
BC_DeleteSvc('IrmonASWLSVCTrkWks');
BC_DeleteSvc('lanmanworkstationSPIDERNT');
BC_DeleteSvc('MDMSwPrv');
BC_DeleteSvc('MDMSwPrvNetDDEdsdm');
BC_DeleteSvc('MSDTCWebClient');
BC_DeleteSvc('MSIServerdmadmin');
BC_DeleteSvc('MSIServerWmiApSrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
1) Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
_Falcon_, спасибо! скрипт отработал, а GMER во время проверки (после нажатия кнопки "скан" уваливает систему в синий экран.
попробую в безопасном режиме.
GMER отработал в обычном режиме. отчет прилагаю :)
Этот лог чист.
Теперь еще раз сделайте три стандартных лога
хорошо. сейчас сделаю.
от нечего делать прошелся еще указанным "МБАМом" - ... если кому интересно. ничего не лечил.
_Falcon_
25-06-2009, 17:10
Выполните в AVZ:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.sys','');
DeleteFileMask('C:\Documents and Settings\олексій\Local Settings\Temp\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Затем:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.
Если в карантин ничего не попадет, поищите файл Beep.sys и проверьте его на Virustotal.com.
_Falcon_, в карантин ничего не попадает, соответственно архив пустой. поиски Веер.sys не дали результатов...
Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('Beep');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.sys');
ExecuteSysClean;
RebootWindows(true);
end.Компьютер перезагрузится
Сделать только новый лог virusinfo_syscheck.zip
Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('Beep');
DeleteFile('Beep.sys');
ExecuteSysClean;
RebootWindows(true);
end.Компьютер перезагрузится
Сделать только новый лог virusinfo_syscheck.zip
thyrex, к сожалению, не успел исполнить последний скрипт, не хватило времени.
в предыдущем скрипте было аналогичное задание, файл "веер.сис" во всех вариантах написания не был найден в системе.
система работает стабильно, передана хозяевам, замечаний нет.
огромное спасибо за помощь!
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC