» Помощь при лечении компьютера от вирусов

gjf
Цитата:

кроме обычных логов сделайте ещё лог с помощью VBA32 Antirootkit.
Vba32arkitLog.zip

Это сильно обязательно? Этот VBA32 Antirootkit уже 4,5 часа работает. И хоть по индикации должен уже закончить работу, а все проверяет и проверяет

thyrannosaurus и gjf
Наконец-то VBA32 Antirootkit отработал. Вот все 4 лога http://rghost.ru/1558718

gjf
Цитата:

По требованию специалиста удалите драйвер расширенного мониторинга ArKit Driver -> UnInstall AntiRootKit Driver.

Делать или еще рано?

Mushroomer
Сейчас гляну и отпишусь.

Добавлено:
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\espCAA.tmp');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.

Mushroomer
Вот такое еще сделайте
Скачайте http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip , в первую строчку введите espCAA.tmp и нажмите ОК, откроется текстовый файл, запакуете его и приложите сюда.

gjf
Цитата:

По карантину Вам что-нибудь ответили?

Пока нет

Цитата:

Если сообщили номер KLAN - напишите его, пожалуйста.

Сообщили. KLAN-69195361

Цитата:

По требованию специалиста удалите драйвер расширенного мониторинга ArKit Driver -> UnInstall AntiRootKit Driver.

А с ним что делать? А если и делать, то когда? В самом начале?

Mushroomer
Ну давайте объясню. У Вас сидела какая-то дрянь на userinit - это мы уже почистили. В процессорах печати ещё есть что-то - оно не удалилось. Было подозрение на руткит - этого добра нет. Сейчас отключим восстановление (может оттуда лезет) и попробуем удалить - это я и отписал в скрипте. Если повторные логи покажут наличие - будем прибивать вручную - для этого нужна инфа, которую запросил thyrannosaurus.

А вот это:

Цитата:

По требованию специалиста удалите драйвер расширенного мониторинга ArKit Driver -> UnInstall AntiRootKit Driver.

- да, можете уже удалить.

gjf
Цитата:

Отключите
- Антивирус

Вопрос: eсть ли разница между остановить защиту и тем, чтобы антивирус не стартовал вместе с Windows?

gjf
У меня к вам есть вопрос как к знатоку.
Ставил я Trendmikro который тут кто та советовал, не большая утилка что та типа Cureit, после того как я ее поюзал, я ее снес Smarty Uninstaller Pro 2009. И все бы хорошо, но после того как ребутнул тачку, не было коннекта к сети.
В диспетчере оказалось аж три карточки, то есть еще какие то 2 появились и называются они примерно так:
1) Минипорт WAN (IP) Trend Micro Common Firewall Miniport
2) Минипорт WAN (Сетевой монитор) Trend Micro Common Firewall Miniport
Вопрос как их удалить, чтоб появилась сеть?
Откатить их можно, а вот удалить не удается даже в безопасном режиме, как быть?

Sorry если не в ту тему, но думаю может у меня вирус?!

Mushroomer
Есть. Остановить - это прекратить работу на текущую сессию. После перезагрузки - возобновиться. Не стартовать - это оставить работу в текущей сессии, но с перезагрузкой - не запускать.

setwolk
Если думаете, что вирус - делайте логи. Если вопрос по программе - ищите ветку в Программах по Trend Micro.

gjf
Все разобрался в соотвествующей теме, спасибо тебе!

gjf
Цитата:

Отключите Системное восстановление!!! Это ВАЖНО!

в Windows 2003 его нет http://virusinfo.info/archive/index.php/t-21270.html
Остальное сделано http://rghost.ru/1591789

thyrannosaurus
Цитата:

Скачайте http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip , в первую строчку введите espCAA.tmp и нажмите ОК, откроется текстовый файл, запакуете его и приложите сюда.

regsearch.txt в том же архиве.

Mushroomer
Выполните скрипт:

Код: begin
SetAVZGuardStatus(True);
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\F0DABAB3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\F0DABAB3');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\F0DABAB3');
RebootWindows(true);
end.

gjf
Цитата:

Выполните скрипт:
После перезагрузки системы - только лог согласно только пункта 2 Правил (Диагностика) virusinfo_syscheck.zip

Сделано http://rghost.ru/1598275

Mushroomer
Больше ничего вредоносного в логах не обнаружено. Что с проблемами?

gjf
Цитата:

Что с проблемами?

Ну они исчезли еще вчером 06-05-2010 после выполнения скрипта thyrannosaurus

Цитата:

Больше ничего вредоносного в логах не обнаружено.

Громадное спасибо. Считаем вопрос полностью закрытым. Осталось лишь дождаться ответа из ЛК. Просто интересно, почему ни Dr.Web ни KAV for server не видели этот руткит.

Mushroomer
Просто были неудалённые хвосты в реестре, это вызывало подозрения, да и негоже мусор оставлять

Почему не видели - это уже не к нам вопрос. Возможно, что новый зловред. Или перепакованный. Или ещё что-то. Главное - победили

Извините, что дело растянулось - нужно было быть точно уверенным. Спасибо за терпение и корректное выполнение рекомендаций.

Это снова я, и снова тот же самый проблемный компьютер. Но проблема другая.
Известно, что на компьютере был вирус Trojan.Win32.Agent.caju (файл wwwzuc32.exe)

Было: блокирование кнопки Пуск и Диспетчера задач. Блокирование было без сообщения. Кнопка Пуск и Диспетчер задач просто не запускались.

Было сделано:
1) KAV for Server сам удалил файл drwat32.exe
2) проверка Drweb live CD удалила вирусы во временнных файлах интернета
3) wwwzuc32.exe был удален из-под безопасного режима

Теперь: Компьютер после загрузки подвисает на 10 минут, а потом начинает нормально работать.

Предположение: лечение проведено неполностью.

Логи тут http://rghost.ru/1619838

Mushroomer
Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

gjf
Цитата:

И чего оно у Вас так часто заражается - вроде бы ж Касперский установлен? Защиту выключаете?

Очень хороший вопрос:
1) был выключен файервол. Теперь он включен
2) использовались технологии iChecker и iSwift. Теперь они использоваться не будут.

Цитата:

Защиту выключаете?

нет.

Цитата:

Выполните скрипт:

Скрипт выполнили, временные папки почистили. Ситуация не изменилась 10 минут после загрузки Windows компьютер висит намертво. Потом развисает.

Добавлено:
Пока лечение приостанавливаем. Возможно проблема находится на системном уровне. В операционной системе повреждены журналы системы и приложений. Сначала надо восстановить их (способ известен), потом посмотреть какие ошибки в них есть, затем двигаться дальше.

Mushroomer

Цитата:

Пока лечение приостанавливаем. Возможно проблема находится на системном уровне. В операционной системе повреждены журналы системы и приложений. Сначала надо восстановить их (способ известен), потом посмотреть какие ошибки в них есть, затем двигаться дальше.

ОК. Если что - сообщите, продолжим.

Есть проблемы с загрузкой процессора на 100%
в автозапуске непонятное имя wwwzuc32.exe
http://rghost.ru/1645993
http://rghost.ru/1646015
это (virusinfo_syscheck.zip.) не создалось в папке LOG

TaTyH
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
QuarantineFile('C:\WINDOWS\System32\win32k.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Есть инет через proxy, уходя домой лочу ПК и машина остается в локальной сети и соотвественно в инете. Приходя на работу вижу по логам что моя машина с 5-7 утра была в инете вот поэтому адресу 64.12.24.41:443 хотя я туда не заходил, меня вапще не было еще на работе.
Кушает не много около метра-двух, но тем не менее не приятно как так?!
Пытался сканить себя всячески на вирусы всеми известными способами и лечилками, вирусов нет, однако трабла есть.
Какие будут советы мнения по данной проблеме?!

setwolk
64.12.0.0/16 - сервера AOL (ICQ, QIP и т.п.). При чем тут "Помощь при лечении компьютера от вирусов"?

gjf
Цитата:

ОК. Если что - сообщите, продолжим.

Журналы восстановили. В них ничего необычного нет. Загрузка процессора обычная, но все равно, в течении первых 10 минут работы компьютера нет доступа к панели быстрого доступа, к кнопке пуск, к диспетчеру задач.

Цитата:

в автозапуске непонятное имя wwwzuc32.exe

Еще один коллега по несчастью

setwolk
Уходя домой вырубить все приложения. АБСОЛЮТНО все. Включая, конечно, асю, квип и так далее

Mushroomer
У коллеги пока не всё так плохо.
Попробуем опять логи VBA32 Antirootkit. Кстати, прога обновилась - перекачайте. Ссылку помните?

Офф: А чего Вы используете именно 2003? С этим ядром от х64 не всё так просто, когда дело касается лечения.

gjf
Цитата:

Кстати, прога обновилась - перекачайте. Ссылку помните?

конечно.

Цитата:

А чего Вы используете именно 2003? С этим ядром от х64 не всё так просто, когда дело касается лечения.

Ну это файловый сервер, который выступает как рабочая станция, у которой есть интернет (такое совмещение + интернет конечно не есть правильно, но так есть). На нем установлена файловая серверная операционая система Windows 2003 Standart x32.

Цитата:

Попробуем опять логи VBA32 Antirootkit.

ok.

XenoZ
При том что существуют сетевые черви которые сидят и кушают траффик инета, поэтому и задал этот вопрос в правильной теме!
gjf
Хорошо сегодня выключу все и оставлю все равно машину в сети, потом по логам гляну, если что скину на virus.info и сюда

gjf
Цитата:

Попробуем опять логи VBA32 Antirootkit.

Вот лог. http://rghost.ru/1649614
Лог делался в режиме extended. http://virusinfo.info/showthread.php?t=78057
Что странно: предыдущая версия VBA32 Antirootkit работала 4,5 часа. А новая версия работала 1 минуту.

Цитата:

По требованию специалиста выключите режим расширенного мониторинга через пункт меню ArKit Driver -> UnInstall Extended Driver.

Драйвер можно выключать?

Цитата:

Кстати, прога обновилась - перекачайте. Ссылку помните?

http://www.anti-virus.by/en/download_arkit_beta.php?
ftp://anti-virus.by/beta/Vba32arkit_beta.7z
ftp://anti-virus.by/beta/Vba32arkit_beta.rar
ftp://anti-virus.by/beta/Vba32arkit_beta.zip
http://vba.datacenter.by/beta/Vba32arkit_beta.7z
http://vba.datacenter.by/beta/Vba32arkit_beta.rar
http://vba.datacenter.by/beta/Vba32arkit_beta.zip

Mushroomer
Драйвер можно выключать.
Ничего вредоносного не обнаружено.
Даже не знаю, что Вам порекомендовать в этой связи. Попрошу коллег посмотреть логи, может у них было нечто подобное в практике.
opt_step
Вы совершенно правы