Решена Последствия вирусов

Статус
В этой теме нельзя размещать новые ответы.

GIgAleks

Активный пользователь
Сообщения
47
Симпатии
10
Баллы
398
#1
Доброго времени суток всем! Проблема в следующем. Знакомые принесли ноут. Поскольку определенные навыки борьбы со зловредами у меня есть (как никак учусь у вас :)), основную массу зверьков вроде бы победил. Гадости там было достаточно: подмена диспетчера задач, синий экран при попытке выключения или перезагрузки и т.д. Сейчас в этом плане все нормально. Но, остались нерешенными следующие проблемы: не отключается восстановление системы (при попытке отключить выдается предупреждение: "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и повторите попытку". И так постоянно.) Далее, не отображаются учетные записи пользователей в панели управления, просто чистое окно и все. В Администрировании не отображается режим "расширенные" в соответствующей вкладке (например в "Службах"), только стандартные. По-прежнему как и с самого начала, невозможно завершить сеанс. Нажатие на эту кнопку ничего не дает. При нажатии сочетания Win+L появляется стандартное окно для ввода пароля с пользователем user и надписью типа того, что компьютер заблокирован и используется, только пользователь user (имя) может его разблокировать. Когда пароль вводится, происходит обычный вход данного пользователя. Такое ощущение, что где-то что-то с политиками проблема. Но моих знаний не хватает больше. Прошу посмотреть логи, вдруг что еще осталось нетронутым. В логах AVZ смущают записи о маскировке драйверов. Спасибо заранее.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#2
Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу.
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#4
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service kaoqx
gmer.exe -del service leditoiuz
gmer.exe -del file "C:\WINDOWS\system32\wbluel.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\leditoiuz"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kaoqx"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\leditoiuz"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kaoqx"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Повторите лог Gmer и логи AVZ и RSIT.
 

GIgAleks

Активный пользователь
Сообщения
47
Симпатии
10
Баллы
398
#5
А там когда через парсер лог пропускаешь, в батник еще и вот это файл заносится:
Код:
"c:\windows\system32\drivers\uphcleanhlp.sys"
Это ошибка парсера, который тоже его руткитом считает?
 

GIgAleks

Активный пользователь
Сообщения
47
Симпатии
10
Баллы
398
#7
Я так и понял. Я тоже удивился, что файл туда попал, т.к. тоже про него читал и знаю, что это легитимный файл ))
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#9
Что с проблемами?
 

GIgAleks

Активный пользователь
Сообщения
47
Симпатии
10
Баллы
398
#10
Все по-прежнему.
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#11
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#13
c:\windows\system32\dllcache\ndis.sys - необходимо проверить на VT

c:\windows\System32\drivers\beep.sys - скопировать файл из кеша.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
NetSvc::
dhzrjg
jqgfzdr
uwaamrwjy
edtsmngw
kaoqx
leditoiuz

Driver::
zzjreqqs
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6057:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2Fcfscript.gif&hash=200d5b926df781f06021e7e303276cee

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

GIgAleks

Активный пользователь
Сообщения
47
Симпатии
10
Баллы
398
#14
Файл проверил - чистый.
Код:
File name: 
ndis.sys
Submission date: 
2010-10-18 17:30:50 (UTC)
Current status: 
finished
Result: 
0/ 43 (0.0%)
Beep скопировал.
Скрипт выполнил. Новые логи.
 

Вложения

GIgAleks

Активный пользователь
Сообщения
47
Симпатии
10
Баллы
398
#15
Что касается системы, то произошли положительные изменения: учетные записи пользователей отображаются нормально, отображаются расширенный режим в "службах" и т.п. разделах администрирования. Но, пока так и не возможно отключить восстановление системы и не происходит завершение сеанса. Попытка изменить способ входа в систему и поставить галку на "Быстрое переключение пользователей" ни к чему не приводит, после нажатия кнопки применить галка исчезает. Может быть это связано с тем, что на ноуте только одна учетная запись, а вторая "Гость" отключена? В "Управлении компьютером" в папке "Локальные пользователи" при попытке вызвать в свойствах "Членство в группах" выскакивает предупреждение, что свойства недоступны, т.к. не запущена служба Рабочей станции. Когда ее пытаешься запустить, выскакивает ошибка, с кодом 2250 и сообщением, что запустить службу на локальном компьютере не удалось.
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#16
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>safezone.cc с указанием в теме письма ссылки на тему. (at=@)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2Fcombofix-uninstall.jpg&hash=81a24c0e6f43436414e4ec21134aee34


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Активного заражения не вижу.
 

GIgAleks

Активный пользователь
Сообщения
47
Симпатии
10
Баллы
398
#17
Отправил

Добавлено через 2 часа 33 минуты 39 секунд
В пылу борьбы вообще не обратил внимание на то, что полностью пропала сеть. В том смысле, что все устройства в диспетчере устройств во вкладке Сетевые платы помечены восклицательными знаками. Переустановка драйверов никакого результата не дает, в свойствах пишет, что драйвер не установлен или поврежден. В инете с подобной проблемой уже обращались, пишут, что нужно заменить чистый ndis.sys и прогнать вот этой утилиткой - WinSockFix. Еще какие-нибудь способы есть? Или можно этот пробовать?
 

GIgAleks

Активный пользователь
Сообщения
47
Симпатии
10
Баллы
398
#19
Утилита sfc помогла! Появилась сеть, исчезли восклицательные знаки в диспетчере устройств, заработала служба Рабочей станции и другие, связанные с ней. Хотя, по-прежнему, не отключается восстановление системы (все также ссылается на какое-то устройство) и не работает смена пользователей. Но, думаю, что человек, который на этом ноуте работает, не будет лезть в эти дебри. Поэтому огромное спасибо за помощь. Будем считать, что проблема решена )). Не думаю, что оставшиеся вопросы как-то глобально повлияют на работу, да и, как я говорил, хозяин ноута далек от этих "дебрей". Только о результатах проверки карантина сообщите, пожалуйста.
 

akok

Команда форума
Администратор
Сообщения
15,611
Симпатии
12,661
Баллы
2,203
#20
mmmpc.exe.vir infected with Trojan.Packed.20312

Остальное в вирлабе лежит.

Добавлено через 1 минуту 9 секунд
Переустановка System Restore: Пуск -> Выполнить ->
Код:
rundll32.exe advpack.dll,LaunchINFSection C:\Windows\Inf\sr.inf
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу