Решена Последствия вирусов

[GIgAleks]

Доброго времени суток всем! Проблема в следующем. Знакомые принесли ноут. Поскольку определенные навыки борьбы со зловредами у меня есть (как никак учусь у вас ), основную массу зверьков вроде бы победил. Гадости там было достаточно: подмена диспетчера задач, синий экран при попытке выключения или перезагрузки и т.д. Сейчас в этом плане все нормально. Но, остались нерешенными следующие проблемы: не отключается восстановление системы (при попытке отключить выдается предупреждение: "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и повторите попытку". И так постоянно.) Далее, не отображаются учетные записи пользователей в панели управления, просто чистое окно и все. В Администрировании не отображается режим "расширенные" в соответствующей вкладке (например в "Службах"), только стандартные. По-прежнему как и с самого начала, невозможно завершить сеанс. Нажатие на эту кнопку ничего не дает. При нажатии сочетания Win+L появляется стандартное окно для ввода пароля с пользователем user и надписью типа того, что компьютер заблокирован и используется, только пользователь user (имя) может его разблокировать. Когда пароль вводится, происходит обычный вход данного пользователя. Такое ощущение, что где-то что-то с политиками проблема. Но моих знаний не хватает больше. Прошу посмотреть логи, вдруг что еще осталось нетронутым. В логах AVZ смущают записи о маскировке драйверов. Спасибо заранее.

 

[akok]

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу.
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

[GIgAleks]

Сделал

 

[akok]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service kaoqx
gmer.exe -del service leditoiuz
gmer.exe -del file "C:\WINDOWS\system32\wbluel.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\leditoiuz"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kaoqx"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\leditoiuz"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kaoqx"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Повторите лог Gmer и логи AVZ и RSIT.

 

[GIgAleks]

А там когда через парсер лог пропускаешь, в батник еще и вот это файл заносится:

"c:\windows\system32\drivers\uphcleanhlp.sys"

Это ошибка парсера, который тоже его руткитом считает?

 

[MotherBoard]

Ложные срабатывания и ошибки везде есть.
%sysdir%\drivers\uphcleanhlp.sys
%SysDir%\drivers\UPHCLEANHLP.SYS is a part of User Profile Hive Cleanup Service.
UPHCLEANHLP.SYS is used for completely terminate the user session when a user logs off.
Manufacturer: Microsoft Corp.
Read more: http://www.microsoft.com/downloads/...6D-8912-4E18-B570-42470E2F3582&displaylang=en

 

[GIgAleks]

Я так и понял. Я тоже удивился, что файл туда попал, т.к. тоже про него читал и знаю, что это легитимный файл ))

 

[GIgAleks]

Новые логи

 

[akok]

Что с проблемами?

 

[GIgAleks]

Все по-прежнему.

 

[akok]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

 

[GIgAleks]

Лог Combofix

 

[akok]

c:\windows\system32\dllcache\ndis.sys - необходимо проверить на VT

c:\windows\System32\drivers\beep.sys - скопировать файл из кеша.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
NetSvc::
dhzrjg
jqgfzdr
uwaamrwjy
edtsmngw
kaoqx
leditoiuz

Driver::
zzjreqqs
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6057:TCP"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[GIgAleks]

Файл проверил - чистый.

File name: 
ndis.sys
Submission date: 
2010-10-18 17:30:50 (UTC)
Current status: 
finished
Result: 
0/ 43 (0.0%)

Beep скопировал.
Скрипт выполнил. Новые логи.

 

[GIgAleks]

Что касается системы, то произошли положительные изменения: учетные записи пользователей отображаются нормально, отображаются расширенный режим в "службах" и т.п. разделах администрирования. Но, пока так и не возможно отключить восстановление системы и не происходит завершение сеанса. Попытка изменить способ входа в систему и поставить галку на "Быстрое переключение пользователей" ни к чему не приводит, после нажатия кнопки применить галка исчезает. Может быть это связано с тем, что на ноуте только одна учетная запись, а вторая "Гость" отключена? В "Управлении компьютером" в папке "Локальные пользователи" при попытке вызвать в свойствах "Членство в группах" выскакивает предупреждение, что свойства недоступны, т.к. не запущена служба Рабочей станции. Когда ее пытаешься запустить, выскакивает ошибка, с кодом 2250 и сообщением, что запустить службу на локальном компьютере не удалось.

 

[akok]

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на quarantine<@>safezone.cc с указанием в теме письма ссылки на тему. (at=@)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Активного заражения не вижу.

 

[GIgAleks]

Отправил

Добавлено через 2 часа 33 минуты 39 секунд
В пылу борьбы вообще не обратил внимание на то, что полностью пропала сеть. В том смысле, что все устройства в диспетчере устройств во вкладке Сетевые платы помечены восклицательными знаками. Переустановка драйверов никакого результата не дает, в свойствах пишет, что драйвер не установлен или поврежден. В инете с подобной проблемой уже обращались, пишут, что нужно заменить чистый ndis.sys и прогнать вот этой утилиткой - WinSockFix. Еще какие-нибудь способы есть? Или можно этот пробовать?

 

[akok]

Воспользуйтесь утилитой sfc

 

[GIgAleks]

Утилита sfc помогла! Появилась сеть, исчезли восклицательные знаки в диспетчере устройств, заработала служба Рабочей станции и другие, связанные с ней. Хотя, по-прежнему, не отключается восстановление системы (все также ссылается на какое-то устройство) и не работает смена пользователей. Но, думаю, что человек, который на этом ноуте работает, не будет лезть в эти дебри. Поэтому огромное спасибо за помощь. Будем считать, что проблема решена )). Не думаю, что оставшиеся вопросы как-то глобально повлияют на работу, да и, как я говорил, хозяин ноута далек от этих "дебрей". Только о результатах проверки карантина сообщите, пожалуйста.

 

[akok]

mmmpc.exe.vir infected with Trojan.Packed.20312

Остальное в вирлабе лежит.

Добавлено через 1 минуту 9 секунд
Переустановка System Restore: Пуск -> Выполнить ->

rundll32.exe advpack.dll,LaunchINFSection C:\Windows\Inf\sr.inf