В принципе я почти все описал в название темы, может поможет кто убрать эту заразу?
------------------------------------
но в дополнение хотелось бы добавить что некоторые из файликов вируса прятались
в system32cryptlnk.dll - определяется avp online cryptlnk.dll - инфицирован Trojan-Spy.Win32.Goldun.azb (drweb пока не видит - файл отправил)
в system32~.exe и
в system32msansspc.dll - уже не помню какие но удалились
в documents and settingsAdministrator лежат пару подозрительных файлов типа:
nax.exe - на VirusTotal не определеяется (файл отправил)
svscchost.exe - Kaspersky - - Trojan-Spy.Win32.Zbot.ewa (drweb пока не видит - файл отправил)
в реестре как всегда ntos.exe
а вот до кучи не открывыется раздел Notify (я полагаю там есть что посмотреть в моем случае)
какая то фигня была в AutoRun - ее убрали,
Ntos - тоже убрали
пару левый драйверов из SafeBoot и Network - тоже выкинули
но проблема с разделом Notify и соответственно с невозможностью загрузки или создания на ПК никаких антивирусных баз типа для avz или vdb для drweb - осталась. При запуске avz - красивый такое диалог из одних знаков вопроса. Cureit тоже ничего дельного не нашел.
HijackThis.exe запустил, лог прилагаю:
PS.
сразу хотелось бы оговориться - к ПК есть только (к сожалению) удаленный доступ
ПК WinXP Pro Лицензия
---------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:53, on 22.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32r_server.exe
C:WINDOWSExplorer.EXE
C:WINDOWSregedit.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesFarFar.exe
C:antivcureit22092008launch.exe
C:DOCUME~1ADMINI~1LOCALS~1TempRarSFX0_start.exe
C:DOCUME~1ADMINI~1LOCALS~1TempRarSFX0setup.exe
C:WINDOWSsystem32cmd.exe
C:distrHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Tёvыъш
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [PCSuiteTrayApplication] C:PROGRA~1NokiaNOKIAP~1LAUNCH~1.EXE -startup
O4 - HKLM..Run: [DrWebScheduler] "C:Program FilesDrWebDRWEBSCD.EXE"
O4 - HKLM..Run: [Adobe Photo Downloader] "C:Program FilesAdobePhotoshop Album Starter Edition3.0Appsapdproxy.exe"
O4 - HKLM..Run: [SpIDerNT] C:PROGRA~1DrWebspiderui.exe /agent
O4 - HKLM..Run: [SpIDerMail] "C:Program FilesDrWebspiderml.exe"
O4 - HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [PcSync] C:Program FilesNokiaNokia PC Suite 6PcSync2.exe /NoDialog
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: RuPass.lnk = ?
O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = office.local
O17 - HKLMSoftware..Telephony: DomainName = office.local
O17 - HKLMSystemCCSServicesTcpip..{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = 10.0.0.1
O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = office.local
O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 194.67.57.104
O17 - HKLMSystemCS1ServicesTcpip..{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = ,10.0.0.1
O17 - HKLMSystemCS2ServicesTcpipParameters: Domain = office.local
O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 194.67.57.104
O17 - HKLMSystemCS2ServicesTcpip..{03AF52C3-6555-481E-92E9-F20DE46EB37E}: NameServer = 10.0.0.1
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 194.67.57.104
O23 - Service: єЁэры ёюсvЄшщ (Eventlog) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSsystem32services.exe
O23 - Service: Tыєцср COM чряшёш ъюьяръЄ-фшёъют IMAPI (ImapiService) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSsystem32imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSsystem32mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: OracleServiceXE - Oracle Corporation - c:progra~1capitaloracleproduct10.2.0serverbinORACLE.EXE
O23 - Service: Plug and Play (PlugPlay) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSsystem32services.exe
O23 - Service: -шёяхЄўхЁ ёхрэёр ёяЁртъш фы єфрыхээюую Ёрсюўхую ёЄюыр (RDSessMgr) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:WINDOWSsystem32r_server.exe
O23 - Service: TьрЁЄ-ърЁЄv (SCardSvr) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:Program FilesCommon FilesPCSuiteServicesServiceLayer.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:PROGRA~1DrWebspidernt.exe
O23 - Service: єЁэрыv ш юяютххэш яЁюшчтюфшЄхы№эюёЄш (SysmonLog) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: UFD Command Service (UFDSVC) - Generic - C:WINDOWSsystem32ufdsvc.exe
O23 - Service: Tхэхтюх ъюяшЁютрэшх Єюьр (VSS) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSSystem32vssvc.exe
O23 - Service: LфряЄхЁ яЁюшчтюфшЄхы№эюёЄш WMI (WmiApSrv) - юЁяюЁрЎш рщъЁюёюЇЄ - C:WINDOWSsystem32wbemwmiapsrv.exe
--
End of file - 5031 bytes
Rootkit не дает обновлять и использовать Avz drweb и открывать раздел Notify
Автор
thedmit2
, сен 22 2008 18:52
2 ответов в этой теме
#2
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 22 Сентябрь 2008 - 19:40
Номера тикетов бы увидеть, было бы совсем хорошо.
#3
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 22 Сентябрь 2008 - 20:31
Жаль.сразу хотелось бы оговориться - к ПК есть только (к сожалению) удаленный доступ
Отключить Восстановление системы: "Мой компьютеp" (My Computer) - "Свойства" (Properties) - "Восстановление системы" (System Restore) - "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Создаёте папку c:test, копируете туда cureit, называете его xyz.exe . Копируете туда прилагаемые файлы fast.bat, files.bat запускаете full.bat - заработает cureit. Когда он отработает *не закрывая окна cureit* запускаете files.bat.
Покажите здесь c:testfast.log, files.txt в архиве!
В normal mode грузится?
Скачайте файл http://slil.ru/26151362 Запускаете в normal mode, переходите на вкладку Report, кнопка Scan, убираете птичку на Files, меню File-save report. Покажите здесь.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
