» Помощь при лечении компьютера от вирусов

В офисе у одного из пользователей операционка Windows Xp, при входе в любой интернет браузер, касперский 6.0 версии тут же выдает окно что якобы C:/system32/winlogon.exe пытается внедриться в процессы, подскажите как узнать какая именно программа пытается это сделать, так как мне кажется это скорей всего троян который маскируется под winlogon.

http://rghost.ru/3195547

DJMC
Перечитайте правила еще раз и предоставьте нужные логи, а не отсебятину

Добавлено:
e665ta
Выполните правила, о которых говорится в шапке темы

thyrannosaurus

Цитата:

Перечитайте правила еще раз и предоставьте нужные логи, а не отсебятину

прочитал, и так по пунктом объясняю.


Цитата:

После загрузки инструментов:
1.- 5.?
6. Отключитесь от сети Интернет и выгрузите антивирусную программу, файервол (если они у Вас есть); закройте игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер (например, Internet Explorer); если он не запущен - запустите.

с первого по пятый пункт выполнил, при выполнении 6 происходит следующее, отключил от сети, отключил касперского, оставил запущеным только Эксплорер, запускаю AVZ и все комп вылетает, то есть отсается одна заставка рабочего стола и больше ничего нет.


если не отключать касперского, то программа запускается, базы обновил с другого компа и расспокал там,при выполненнии скрипта все виснет.
запустил RSIT.exe вот лог http://rghost.ru/3196280

DJMC

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

DJMC
В дополнение к рекомендациям выше - в обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.

На существующей системе без апдейтов лечение может продолжаться бесконечно...

thyrannosaurus

Цитата:

Скачайте ComboFix

скачал, отключил касперского, все закрыл, саму программу сохранил на рабочем столе, не запускается, переименовал как вы советовали результат тот же.

gjf

Цитата:

Установите все последние обновления системы Windows и используемых программ.

при попытке установке программ пишет следующее указанный ключ соответсвия не обнаружен я так понимаю речь про лицензию идет, на предприятии я относительно не давно, но тут очень много лицензионных дисков и по идеи должна стоять лицензионная операционка, как собственно и есть, проверил ключ совпадает с наклейкой на компьютере.

кстати дома стоит не лицензионная операционка(точнее ключ сразу был в шит) , и касперский работает, всегда обновления проходят без проблем, ежемесячно.

Народ помогите, где-то подцепил интересный вирус (или что-то еще). Проверил всю систему Dr. Web CureIt! в безопасном режиме (ни одного вируса), потом скачал Avira Premium Security Suite в обычном режиме (опять никого), AVZ не запускается (просто запускается и тут же закрывается), позже скачал Avast!Premium - пусто..... и все в таком духе..... А теперь причина, НЕ работает ни один браузер (Opera, Mozila и родной) во всех пишет ошибку после запуска той или иной страницы, работает только Google Chrome, но не все сайты он открывает..... А еще чистил реестр с помощью программы, ССleaner... Сначало помогло, но через пару дней всё вернулось. Винда XP pack 3, все обновления что требовала винда установлены. ПОМОГИТЕ

DJMC, krestdm
Попробуйте запустить AVZ в безопасном режиме с поддержкой командной строки с ключом ag=y и сделать лог

Цитата:

thyrannosaurus

А ключ этот куда?! в командную строку или в AVZ где-то прописать?!

Добавлено:
thyrannosaurus
Или это в свойствах AVZ как бы запуск с параметром!?

krestdm
В командную строку

Пример (для AVZ в корне диска C): C:\avz.exe ag=y

thyrannosaurus
Лан понял после 18 домой попаду попробую и скину тогда лог

Короче я не знаю когда найду. Ну а если я обновлю, то шо потом надо будет зделать? Еще раз проверить?

Loki021
Да

После обновления - новые логи

thyrannosaurus
Ок, тогда буду искать

Добавлено:
А его точно можно так обновить? Ато шото я не нахожу

thyrannosaurus
Не вышло с параметром даже в безопасном режиме с ком. строкой, как только пишешь адрес места хранения файла и приписываешь параметр - нажимаю Enter, все.... загрузка безопасного режима начинается с начала( то бишь с пустой командной строкой). А если просто заходить через безопасный режим то по мере приближения к папке с AVZ, он перезагружается. А и потом перестал загружаться в обычном режиме, после значка загрузки винды, выскакивает синий экран в котором в правом верхнем углу написаны три строки иероглифов и комп зависает. Поэтому я не стал заморачиваться и снес эту виду к чертям)))) А теперь самому интересно что это было(((((Но все равно спасибо

thyrannosaurus

Цитата:

Попробуйте запустить AVZ в безопасном режиме с поддержкой командной строки с ключом ag=y и сделать лог

получилось, http://rghost.ru/3207745
RSIT.exe вот лог http://rghost.ru/3196280

DJMC

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\zpjfra.exe','');
QuarantineFile('c:\windows\system32\zgpjrrj.exe','');
QuarantineFile('c:\windows\system32\vgetuo.exe','');
QuarantineFile('c:\windows\system32\shuqbq.exe','');
QuarantineFile('c:\windows\system32\qhowvfu.exe','');
QuarantineFile('c:\windows\system32\lwqnih.exe','');
QuarantineFile('c:\windows\system32\eb3b734e.exe','');
QuarantineFile('c:\windows\system32\abvvzcd.exe','');
QuarantineFile('c:\windows\system32\a0552b50.exe','');
QuarantineFile('c:\windows\system32\99dc785e.exe','');
QuarantineFile('c:\windows\system32\640f717e.exe','');
QuarantineFile('c:\windows\system32\4011cc06.exe','');
QuarantineFile('C:\WINDOWS\system32\sqqlbui.exe','');
QuarantineFile('C:\WINDOWS\system32\mxbkqda.exe','');
DeleteFile('C:\WINDOWS\system32\mxbkqda.exe');
DeleteFile('C:\WINDOWS\system32\sqqlbui.exe');
DeleteFile('c:\windows\system32\4011cc06.exe');
DeleteFile('c:\windows\system32\640f717e.exe');
DeleteFile('c:\windows\system32\99dc785e.exe');
DeleteFile('c:\windows\system32\a0552b50.exe');
DeleteFile('c:\windows\system32\abvvzcd.exe');
DeleteFile('c:\windows\system32\eb3b734e.exe');
DeleteFile('c:\windows\system32\lwqnih.exe');
DeleteFile('c:\windows\system32\qhowvfu.exe');
DeleteFile('c:\windows\system32\shuqbq.exe');
DeleteFile('c:\windows\system32\vgetuo.exe');
DeleteFile('c:\windows\system32\zgpjrrj.exe');
DeleteFile('c:\windows\system32\zpjfra.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

gjf
Подскажите уважаемый, а что вы думаете по этому поводу?
http://nnm.ru/blogs/garik_14/universal_virus_sniffer_v3_31_uvs_portable_eng_rus_2/#cut

setwolk
1. Здесь оказывают помощь в реальном лечении, а не оценивают какую-то программу
2. Убить систему такой программой - раз плюнуть

Доброго времени суток.
Ну вот и я попался. Тело вируса и файлики которые он "ставил" прибил, но остались "сопли" - найти не получается, что-то "свеженькое" (раньше проблем не было), да и надоело, так для эксперимента копаюсь (система готова к переустановке, да и по времени пора). Симптомы стандартные: блокировки антивирусных сайтов и обновлений.


virusinfo_syscure http://rghost.ru/3219333
info.txt http://rghost.ru/3219352
log.txt http://rghost.ru/3219367

1Kipovec

Выполните скрипт в AVZ

Код: begin
ExecuteRepair(20);
RebootWindows(true);
end.

Цитата:

Проблема решена?

Грациос, всё решено. Единственный вопрос - что это было (если это не тайна)?
pыs А папки эти мне тож не ндравились, НО они "пустые" и дата пораньше. Поэтому было сомнение.

1Kipovec


Цитата:

Единственный вопрос - что это было (если это не тайна)?

Были прописаны статические маршруты доступа к сайтам, что было исправлено скриптом AVZ

Цитата:

Были прописаны статические маршруты доступа к сайтам, что было исправлено скриптом AVZ

Спасибо за разяснение, я в принципе понял - что это запуск "20 пункта" из восстановления, жаль только в справке ни чего про него нет (описание кончается 19 пунктом).
С Уважением.

thyrannosaurus

Цитата:

Выполните скрипт в AVZ

спасибо все проделал, в офисе компьютер заработал, ответ от лабаратории касперского пока не получил, ждемс.

Теперь у меня дома случилось не что подобное, все началось с того что при входе в соц.сети требовали отправить пароли, якобы страница заблокирована, так же пропал антивирусник Nod32, папка с программой есть, а сам не запускается, проверил утилитой Др.Веб из соседней темы, ничего не нашел, сейчас же, интернет вообще отсутсвует, когда делаю лог в AVZ появляется синий экран смерти( но один раз удалось запустить, вот лог http://rghost.ru/3227690
к сожалению дома не было файла RSIT.exe по этому в нем лог.смогу выложить наверное уже только в понедельник.

DJMC

Не закончили еще с первой машиной

Цитата:

Сделайте новые логи + пробуйте сделать лог ComboFix

По второй: не тот лог. Это автокарантин

Попробуйте собрать логи (или в безопасном, если вылетает в синеву)

thyrannosaurus

Цитата:

Не закончили еще с первой машиной

у пользователя все зарабтало, как появится возможность сяду за его комп и сделаю еще раз лог.

Цитата:

пробуйте сделать лог ComboFix

все равно им не получилось сделать лог на первом компьютере.


Цитата:

По второй: не тот лог. Это автокарантин

вот полностью папка Лог http://rghost.ru/3228846

Вобщем обновил, проверил, удалил, пока шо вроде норм, если шото будет напишу. Спасибо!

Подскажите, пожалуйста, как можно удалить такую хрень:

В директории windows\system32\drivers сидит файлик cobnzr.sys

В стандартном диспетчере задач не показывается, только anvir видит.

именно эта служба пытается лезть в инет по десяти разным адресам в секунду.

- Напрямую не удаляется.
- Все ветки регистра с таким названием не раскрываются, не удаляются, права на них не меняются.
- unlocker не удаляет его
- ragalyzer не удаляет ветки реестра
- при загрузке с CD удалить его естественно удается, но при первой же загрузке (в безопасном режиме тоже) он снова на месте.

P.S
Ни один антивир его не видит, в том числе drweb с загрузочного диска.

alex135

Выполните правила, о которых говорится в шапке темы