Решена Последствия вирусов

Тема в разделе "Лечение компьютерных вирусов", создана пользователем GIgAleks, 18 окт 2010.

Статус темы:
Закрыта.
  1. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Доброго времени суток всем! Проблема в следующем. Знакомые принесли ноут. Поскольку определенные навыки борьбы со зловредами у меня есть (как никак учусь у вас :)), основную массу зверьков вроде бы победил. Гадости там было достаточно: подмена диспетчера задач, синий экран при попытке выключения или перезагрузки и т.д. Сейчас в этом плане все нормально. Но, остались нерешенными следующие проблемы: не отключается восстановление системы (при попытке отключить выдается предупреждение: "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и повторите попытку". И так постоянно.) Далее, не отображаются учетные записи пользователей в панели управления, просто чистое окно и все. В Администрировании не отображается режим "расширенные" в соответствующей вкладке (например в "Службах"), только стандартные. По-прежнему как и с самого начала, невозможно завершить сеанс. Нажатие на эту кнопку ничего не дает. При нажатии сочетания Win+L появляется стандартное окно для ввода пароля с пользователем user и надписью типа того, что компьютер заблокирован и используется, только пользователь user (имя) может его разблокировать. Когда пароль вводится, происходит обычный вход данного пользователя. Такое ощущение, что где-то что-то с политиками проблема. Но моих знаний не хватает больше. Прошу посмотреть логи, вдруг что еще осталось нетронутым. В логах AVZ смущают записи о маскировке драйверов. Спасибо заранее.
     

    Вложения:

  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Скачайте GMER по одной из указанных ссылок:
    Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    - Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу.
    - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
     
  3. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Сделал
     

    Вложения:

    • gmer.log
      Размер файла:
      8,9 КБ
      Просмотров:
      6
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
    Код (Text):

    gmer.exe -del service kaoqx
    gmer.exe -del service leditoiuz
    gmer.exe -del file "C:\WINDOWS\system32\wbluel.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\leditoiuz"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kaoqx"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\leditoiuz"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kaoqx"
    gmer.exe -reboot
     
    И запустите сохранённый пакетный файл cleanup.bat.
    Внимание: Компьютер перезагрузится!
    Сделайте новый лог gmer.

    Повторите лог Gmer и логи AVZ и RSIT.
     
  5. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    А там когда через парсер лог пропускаешь, в батник еще и вот это файл заносится:
    Код (Text):
    "c:\windows\system32\drivers\uphcleanhlp.sys"
    Это ошибка парсера, который тоже его руткитом считает?
     
  6. MotherBoard
    Онлайн

    MotherBoard Гость

  7. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Я так и понял. Я тоже удивился, что файл туда попал, т.к. тоже про него читал и знаю, что это легитимный файл ))
     
  8. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Новые логи
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      16,4 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      16,3 КБ
      Просмотров:
      3
    • log.txt
      Размер файла:
      11,7 КБ
      Просмотров:
      0
    • gmer.log
      Размер файла:
      3 КБ
      Просмотров:
      2
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Что с проблемами?
     
  10. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Все по-прежнему.
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."
     
  12. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Лог Combofix
     

    Вложения:

    • ComboFix.rar
      Размер файла:
      3,5 КБ
      Просмотров:
      3
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    c:\windows\system32\dllcache\ndis.sys - необходимо проверить на VT

    c:\windows\System32\drivers\beep.sys - скопировать файл из кеша.

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::
    NetSvc::
    dhzrjg
    jqgfzdr
    uwaamrwjy
    edtsmngw
    kaoqx
    leditoiuz

    Driver::
    zzjreqqs
    Folder::

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6057:TCP"=-
    FileLook::

    DirLook::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  14. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Файл проверил - чистый.
    Код (Text):
    File name:
    ndis.sys
    Submission date:
    2010-10-18 17:30:50 (UTC)
    Current status:
    finished
    Result:
    0/ 43 (0.0%)
     
    Beep скопировал.
    Скрипт выполнил. Новые логи.
     

    Вложения:

    • ComboFix.rar
      Размер файла:
      2,7 КБ
      Просмотров:
      3
  15. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Что касается системы, то произошли положительные изменения: учетные записи пользователей отображаются нормально, отображаются расширенный режим в "службах" и т.п. разделах администрирования. Но, пока так и не возможно отключить восстановление системы и не происходит завершение сеанса. Попытка изменить способ входа в систему и поставить галку на "Быстрое переключение пользователей" ни к чему не приводит, после нажатия кнопки применить галка исчезает. Может быть это связано с тем, что на ноуте только одна учетная запись, а вторая "Гость" отключена? В "Управлении компьютером" в папке "Локальные пользователи" при попытке вызвать в свойствах "Членство в группах" выскакивает предупреждение, что свойства недоступны, т.к. не запущена служба Рабочей станции. Когда ее пытаешься запустить, выскакивает ошибка, с кодом 2250 и сообщением, что запустить службу на локальном компьютере не удалось.
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>safezone.cc с указанием в теме письма ссылки на тему. (at=@)

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


    Активного заражения не вижу.
     
  17. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Отправил

    Добавлено через 2 часа 33 минуты 39 секунд
    В пылу борьбы вообще не обратил внимание на то, что полностью пропала сеть. В том смысле, что все устройства в диспетчере устройств во вкладке Сетевые платы помечены восклицательными знаками. Переустановка драйверов никакого результата не дает, в свойствах пишет, что драйвер не установлен или поврежден. В инете с подобной проблемой уже обращались, пишут, что нужно заменить чистый ndis.sys и прогнать вот этой утилиткой - WinSockFix. Еще какие-нибудь способы есть? Или можно этот пробовать?
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    2 пользователям это понравилось.
  19. GIgAleks
    Оффлайн

    GIgAleks Активный пользователь

    Сообщения:
    47
    Симпатии:
    11
    Утилита sfc помогла! Появилась сеть, исчезли восклицательные знаки в диспетчере устройств, заработала служба Рабочей станции и другие, связанные с ней. Хотя, по-прежнему, не отключается восстановление системы (все также ссылается на какое-то устройство) и не работает смена пользователей. Но, думаю, что человек, который на этом ноуте работает, не будет лезть в эти дебри. Поэтому огромное спасибо за помощь. Будем считать, что проблема решена )). Не думаю, что оставшиеся вопросы как-то глобально повлияют на работу, да и, как я говорил, хозяин ноута далек от этих "дебрей". Только о результатах проверки карантина сообщите, пожалуйста.
     
    2 пользователям это понравилось.
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    mmmpc.exe.vir infected with Trojan.Packed.20312

    Остальное в вирлабе лежит.

    Добавлено через 1 минуту 9 секунд
    Переустановка System Restore: Пуск -> Выполнить ->
    Код (Text):
    rundll32.exe advpack.dll,LaunchINFSection C:\Windows\Inf\sr.inf
     
Статус темы:
Закрыта.

Поделиться этой страницей