[решено] brastk.exe помогите избавится - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] brastk.exe помогите избавится (http://forum.oszone.net/showthread.php?t=123646)

brastk.exe помогите избавится

делал ряд скриптов AVZ что поиском нашёл в гугле, помогает до поры до времени (т.е. через определённое время появляется снова)
выглядит всё след образом, перезагружается комп, после это ни каспер ни агнитум аутпост не запускаются, в трее висит красный крест и пишет что у вас вирус надо срочно скачать антивирус и удалить его. что именно он хочет скачать я не знаю. сейчас начались перебои с работой IE. тормозит, глючит, ряд ссылок подозрительно не открывается. сменил стартовую страницу на гугл - стоял яндекс

Radmin удалите через установку/удаление программ
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и отключите интернет.

Код:

begin

ClearQuarantine;

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 SetServiceStart('HidServstisvc', 4);

 QuarantineFile('C:\WINDOWS\karna.dat','');

 QuarantineFile('C:\system.exe','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\aw4tp2n5.SYS','');

 DeleteFile('C:\system.exe');

 DeleteFile('C:\WINDOWS\karna.dat');

 DeleteService('HidServstisvc');

BC_ImportDeletedList;

ExecuteSysClean;

 BC_QrFile('C:\WINDOWS\System32\Drivers\aw4tp2n5.SYS');

 BC_DeleteSvc('HidServstisvc');

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin        

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O20 - AppInit_DLLs: karna.dat

Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Adobe Acrobat рекомендую обновить до посл. версии.
Повторите логи с отключенным KAV и Outpost (последний вообще рекомендую деинсталлировать, хотя бы временно - не сильно совместим с продуктами ЛК и мешает работе AVZ, если хотите можете включить встроенный брандмауэр Windows, хотя у вас ещё и NetworkAccessManager от NVIDIA установлен)

новые логи.

P.S. второй раз за сегодня в полях ввода текста (1 ый раз в браузере - ответ писал на форуме, 2 ой раз - в аське) выскакиевает мгновенно почти вот такая писанина - т.е. залипание клавишь исключаю т.к. очень быстро это появляется...
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые

Здравствуйте,
Присланный Вами файл уже детектируется. Backdoor.Win32.Small.gjm
Пожалуйста, обновите Ваши базы.
>
> пароль на архив virus
>
>
С уважением, Татаринов Иван
Вирусный аналитик

тут тоже проблема у меня не хочет обновлятся касперский ! пишет что не возможно установить соединение.. я все файрволы отрубал... бестолку, в чём может быть причина ?

почему если я пингую сервера баз касперского то получаю пинг на себя ?
C:\Documents and Settings\user>ping http://dnl-06.geo.kaspersky.com/

Обмен пакетами с localhost [127.0.0.1] по 32 байт:

Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128

Статистика Ping для 127.0.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Цитата:

Цитата foxbat

второй раз за сегодня в полях ввода текста (1 ый раз в браузере - ответ писал на форуме, 2 ой раз - в аське) выскакиевает мгновенно почти вот такая писанина - т.е. залипание клавишь исключаю т.к. очень быстро это появляется... »

еуые - это test - рез-т работы AVZ, но

Цитата:

Цитата Pili

На время выполнения скрипта выключите антивирус, firewall и отключите интернет. »

и как вы сидели в аське с выкл. интернетом?
Outpost рекомендую деинсталлировать, хотя бы временно - не сильно совместим с продуктами ЛК и мешает работе AVZ, если хотите можете включить встроенный брандмауэр Windows
Outpost остался и он включен. Выполните рекомендации, иначе - см. п.7 правил раздела.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению

Цитата:

Цитата foxbat

Присланный Вами файл уже детектируется. Backdoor.Win32.Small.gjm »

Какие файлы попали в карантин? Пришлите мне карантин на на user15802[at]mail.ru, в письме укажите ссылку на тему.

Цитата:

Цитата Pili

и как вы сидели в аське с выкл. интернетом? »

комп перезагрузился после первого прогона скрипта avz, и я снова вышел в инет что бы прочитать что делать дальше, я думал это важно именно на первом этапе. сейчас всё сделал по инструкции "аутпост" удалил. ссылки которые вы мне дали - у меня не открываются - сервер не найден. у меня часть сайтов антивирусной тематики просто не открывается, а если пустить на них пинг то пингую localhost. Файл hosts - вроде в этом не замешан ! подскажите в чём дело ? письмо вам отправил

foxbat, действительно в карантине karna.dat - Backdoor.Win32.Small.gjm
C:\system.exe - в карантин не захотел (явный зловред, но по новым логам его нет)

Подозрение, что у вас ещё руткит tdsserv, в обычном режиме AVZ его не видит.
Если получится, скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.

AVZ - AVZM - установить драйвер расширенного мониторинга процессов, перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ, он делается быстро)

Pili, у меня не открывается ни одна прямая ссылка на файл. сохранить объект как тоже не работает. если не трудно вышлите мне на мою почту (я вам уже писал - по обратному адресу). Кстати что за C:\system.exe у меня нет такого.

Цитата:

Цитата foxbat

C:\system.exe »

Удален скриптом, даже если и был.
Где лог AVZ virusinfo_syscheck.zip с включенным AVZM?

приложил.
P.S. касперский периодически сообщает непонятное для меня:
22.11.2008 10:13:47 Программа C:\WINDOWS\system32\svchost.exe не может установить соединение с сервером 207.46.193.254. Проверьте параметры соединения с интернетом. Возможно, в установленном сетевом экране отсутствует разрешающее правило для приложения avp.exe.

Выполните скрипт

Код:

begin

ClearQuarantine;

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('\systemroot\system32\drivers\TDSSmhxt.sys','');

 DeleteFile('\systemroot\system32\drivers\TDSSmhxt.sys');

 DeleteService('TDSserv');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteFile('\systemroot\system32\drivers\TDSSmhxt.sys');

 BC_DeleteSvc('TDSserv');

BC_Activate;

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin        

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Должен заработать интернет и антивирусные сайты, попробуйте провериться с помощью MBAM и Combofix и выложить их логи (см. выше)

карантин пришел, жаль TDSSmhxt.sys не попал, сделайте остальные логи пожалуйста и новый virusinfo_syscheck.zip

Цитата:

Цитата Pili

Компьютер перезагрузится. »

не перезагрузился :)
проверился MBAM

Malwarebytes' Anti-Malware 1.30
Версия базы данных: 1306
Windows 5.1.2600 Service Pack 2

22.11.2008 15:24:46
mbam-log-2008-11-22 (15-24-46).txt

Тип проверки: Полная (C:\|D:\|E:\|F:\|G:\|I:\|J:\|)
Проверено объектов: 295312
Прошло времени: 1 hour(s), 19 minute(s), 17 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 18

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Documents and Settings\Vovan\Рабочий стол\avz4\avz4\Quarantine\2008-11-20\avz00001.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Рабочий стол\avz4\avz4\Quarantine\2008-11-21\avz00001.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10806.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS6017.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS6b81.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Local Settings\Temp\TDSS66ff.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Local Settings\Temp\TDSS67ca.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS72f4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS78df.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS7fd4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS893b.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSScfub.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoexh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Quarantined and deleted successfully.

Код:

ComboFix 08-11-21.05 - Vovan 2008-11-22 15:42:49.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1251.1.1049.18.585 [GMT 3:00]

Running from: c:\documents and settings\Vovan\Рабочий стол\ComboFix.exe

Command switches used :: c:\documents and settings\Vovan\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe

 * Created a new restore point

.



(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.



c:\docume~1\Vovan\LOCALS~1\Temp\tmp2.tmp



 c:\windows\system32\winlogon.exe . . . is infected!!



.

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.



-------\Legacy_TDSSSERV.SYS

-------\Legacy_VFILT

-------\Service_TDSSserv.sys





(((((((((((((((((((((((((   Files Created from 2008-10-22 to 2008-11-22  )))))))))))))))))))))))))))))))

.



2008-11-22 13:59 . 2008-11-22 13:59        <DIR>        d--------        c:\program files\Malwarebytes' Anti-Malware

2008-11-22 13:59 . 2008-11-22 13:59        <DIR>        d--------        c:\documents and settings\Vovan\Application Data\Malwarebytes

2008-11-22 13:59 . 2008-11-22 13:59        <DIR>        d--------        c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-22 13:59 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-22 13:59 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-11-22 13:11 . 2008-11-22 13:11        11,264        --a------        c:\windows\system32\drivers\uzmwntc2.sys

2008-11-20 10:41 . 2007-02-24 16:00        <DIR>        d--h-----        c:\documents and settings\Администратор\Шаблоны

2008-11-20 10:41 . 2007-02-24 16:00        <DIR>        d--h-----        c:\documents and settings\Администратор\Шаблоны

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Рабочий стол

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Рабочий стол

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Мои документы

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Мои документы

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        dr-------        c:\documents and settings\Администратор\Главное меню

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        dr-------        c:\documents and settings\Администратор\Главное меню

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Избранное

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Избранное

2008-11-20 10:41 . 2008-11-20 10:41        <DIR>        d--------        c:\documents and settings\Администратор

2008-11-20 09:30 . 2008-11-21 12:01        527        --a------        c:\windows\system32\TDSSosvd.dat



.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-22 12:48        13,423,904        --sha-w        c:\windows\system32\drivers\fidbox.dat

2008-11-22 12:47        194,360        --sha-w        c:\windows\system32\drivers\fidbox.idx

2008-11-22 12:47        17,084        --sha-w        c:\windows\system32\drivers\fidbox2.idx

2008-11-22 12:47        104,736        --sha-w        c:\windows\system32\drivers\fidbox2.dat

2008-11-22 10:52        ---------        d-----w        c:\documents and settings\All Users\Application Data\Kaspersky Lab

2008-11-20 17:40        ---------        d-----w        c:\program files\BeholdTV

2008-11-10 06:42        ---------        d-----w        c:\program files\QIP

2007-11-25 13:38        61        --sh--w        c:\windows\cnerolf.dat

.



(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-29 171464]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-12-21 270336]

"VC5Player"="c:\program files\HHVcdV5Sys\VC5Play.exe" [2003-03-11 176128]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-03-14 257088]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]

"SoundMan"="SOUNDMAN.EXE" [2004-11-15 c:\windows\SOUNDMAN.EXE]

"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]



c:\documents and settings\Vovan\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\

Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]



c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\

“бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]



[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^InterVideo WinCinema Manager.lnk]

path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\InterVideo WinCinema Manager.lnk

backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup



[HKLM\~\startupfolder\C:^Documents and Settings^Vovan^Главное меню^Программы^Автозагрузка^Инструмент проверки носителя Picture Motion Browser.lnk]

path=c:\documents and settings\Vovan\Главное меню\Программы\Автозагрузка\Инструмент проверки носителя Picture Motion Browser.lnk

backup=c:\windows\pss\Инструмент проверки носителя Picture Motion Browser.lnkStartup



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-02-16 09:54 282624 c:\program files\QuickTime\qttask.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2007-02-24 17:54 185896 c:\program files\Common Files\Real\Update_OB\realsched.exe



[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001



[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=



R1 uzmwntc2;AVZ-RK Kernel Driver;\??\c:\windows\system32\Drivers\uzmwntc2.sys [2008-11-22 11264]

R1 vbev5mp;vbev5mp;c:\windows\system32\DRIVERS\vbev5mp.sys [2003-05-07 57008]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]

R3 SAA713x;Behold TV WDM Capture (SAA713x);c:\windows\system32\DRIVERS\saa713x.sys [2007-12-16 186512]

.

- - - - ORPHANS REMOVED - - - -



MSConfigStartUp-MSMSGS - c:\program files\Messenger\msmsgs.exe

MSConfigStartUp-Device Detector - DevDetect.exe







**************************************************************************



catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-22 15:47:58

Windows 5.1.2600 Service Pack 2 NTFS



scanning hidden processes ... 



scanning hidden autostart entries ...



scanning hidden files ... 



scan completed successfully

hidden files: 0



**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

c:\windows\system32\rundll32.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

c:\program files\Virtual CD v5\System\VC5Tray.exe

c:\windows\system32\nvsvc32.exe

c:\program files\HHVcdV5Sys\VC5SecS.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe

c:\program files\iPod\bin\iPodService.exe

.

**************************************************************************

.

Completion time: 2008-11-22 15:50:09 - machine was rebooted

ComboFix-quarantined-files.txt  2008-11-22 12:50:00



Pre-Run: 454*164*480 байт свободно

Post-Run: 491,855,872 байт свободно



WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect



141

Цитата:

Цитата foxbat

не перезагрузился »

команду перезагрузки забыл в скрипт вставить, но это не страшно :)
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::

c:\windows\system32\TDSSosvd.dat

c:\windows\cnerolf.dat

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение
У вас проблема гораздо серьезнее есть

Цитата:

Цитата foxbat

c:\windows\system32\winlogon.exe . . . is infected!! »

c:\windows\system32\winlogon.exe - проверьте на virustotal.com, если заражен, выложите рез-т проверки или дайте ссылку, можете заменить файл, взять его с чистой системы или восстановить с установочного диска windows
Пуск-выполнить - cmd.exe
sfc /scannow, вставьте установочный диск и выполните восстановление системных файлов, после этого потребуется установить все обновления (SP3 и все обновления после него - http://windowsupdate.microsoft.com)

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и карантин от МВАМ (лежит в %userprofile%\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine) с паролем virus и пришлите мне на user15802[at]mail.ru

Код:

ComboFix 08-11-21.05 - Vovan 2008-11-22 17:03:41.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1251.1.1049.18.680 [GMT 3:00]

Running from: c:\documents and settings\Vovan\Рабочий стол\ComboFix.exe

Command switches used :: c:\documents and settings\Vovan\Рабочий стол\CFScript.txt.txt

 * Created a new restore point



FILE ::

c:\windows\cnerolf.dat

c:\windows\system32\TDSSosvd.dat

.



(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.



c:\windows\cnerolf.dat

c:\windows\system32\TDSSosvd.dat



 c:\windows\system32\winlogon.exe . . . is infected!!



.

(((((((((((((((((((((((((   Files Created from 2008-10-22 to 2008-11-22  )))))))))))))))))))))))))))))))

.



2008-11-22 13:59 . 2008-11-22 13:59        <DIR>        d--------        c:\program files\Malwarebytes' Anti-Malware

2008-11-22 13:59 . 2008-11-22 13:59        <DIR>        d--------        c:\documents and settings\Vovan\Application Data\Malwarebytes

2008-11-22 13:59 . 2008-11-22 13:59        <DIR>        d--------        c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-22 13:59 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-22 13:59 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-11-22 13:11 . 2008-11-22 13:11        11,264        --a------        c:\windows\system32\drivers\uzmwntc2.sys

2008-11-20 10:41 . 2007-02-24 16:00        <DIR>        d--h-----        c:\documents and settings\Администратор\Шаблоны

2008-11-20 10:41 . 2007-02-24 16:00        <DIR>        d--h-----        c:\documents and settings\Администратор\Шаблоны

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Рабочий стол

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Рабочий стол

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Мои документы

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Мои документы

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        dr-------        c:\documents and settings\Администратор\Главное меню

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        dr-------        c:\documents and settings\Администратор\Главное меню

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Избранное

2008-11-20 10:41 . 2007-02-24 18:54        <DIR>        d--------        c:\documents and settings\Администратор\Избранное

2008-11-20 10:41 . 2008-11-20 10:41        <DIR>        d--------        c:\documents and settings\Администратор



.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-22 14:07        13,531,424        --sha-w        c:\windows\system32\drivers\fidbox.dat

2008-11-22 14:07        109,088        --sha-w        c:\windows\system32\drivers\fidbox2.dat

2008-11-22 13:20        ---------        d-----w        c:\documents and settings\All Users\Application Data\Kaspersky Lab

2008-11-22 13:14        194,984        --sha-w        c:\windows\system32\drivers\fidbox.idx

2008-11-22 13:14        17,228        --sha-w        c:\windows\system32\drivers\fidbox2.idx

2008-11-20 17:40        ---------        d-----w        c:\program files\BeholdTV

2008-11-10 06:42        ---------        d-----w        c:\program files\QIP

.



(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-29 171464]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-12-21 270336]

"VC5Player"="c:\program files\HHVcdV5Sys\VC5Play.exe" [2003-03-11 176128]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-03-14 257088]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]

"SoundMan"="SOUNDMAN.EXE" [2004-11-15 c:\windows\SOUNDMAN.EXE]

"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]



c:\documents and settings\Vovan\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\

Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]



c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\

“бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]



[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^InterVideo WinCinema Manager.lnk]

path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\InterVideo WinCinema Manager.lnk

backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup



[HKLM\~\startupfolder\C:^Documents and Settings^Vovan^Главное меню^Программы^Автозагрузка^Инструмент проверки носителя Picture Motion Browser.lnk]

path=c:\documents and settings\Vovan\Главное меню\Программы\Автозагрузка\Инструмент проверки носителя Picture Motion Browser.lnk

backup=c:\windows\pss\Инструмент проверки носителя Picture Motion Browser.lnkStartup



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-02-16 09:54 282624 c:\program files\QuickTime\qttask.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2007-02-24 17:54 185896 c:\program files\Common Files\Real\Update_OB\realsched.exe



[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001



[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=



R1 uzmwntc2;AVZ-RK Kernel Driver;\??\c:\windows\system32\Drivers\uzmwntc2.sys [2008-11-22 11264]

R1 vbev5mp;vbev5mp;c:\windows\system32\DRIVERS\vbev5mp.sys [2003-05-07 57008]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]

R3 SAA713x;Behold TV WDM Capture (SAA713x);c:\windows\system32\DRIVERS\saa713x.sys [2007-12-16 186512]

.



**************************************************************************



catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-22 17:07:30

Windows 5.1.2600 Service Pack 2 NTFS



scanning hidden processes ... 



scanning hidden autostart entries ...



scanning hidden files ... 



scan completed successfully

hidden files: 0



**************************************************************************

.

Completion time: 2008-11-22 17:08:35

ComboFix-quarantined-files.txt  2008-11-22 14:08:32

ComboFix2.txt  2008-11-22 12:50:15



Pre-Run: 462*401*536 байт свободно

Post-Run: 456,519,680 байт свободно



114

Цитата:

Цитата Pili

нашло что то.. McAfee+Artemis 5441 2008.11.21 Generic!Artemis

Цитата:

Цитата foxbat

нашло что то.. McAfee+Artemis 5441 2008.11.21 Generic!Artemis »

А не должен был (рез-т д.б. 0/37), отправьте файл на newvirus@kaspersky.com и замените файл с чистой системы или выполните восстановление системных файлов (как вариант - установить SP3, обновление должно заменить winlogon.exe)
В остальном по логам чисто.

отпправил вам карантины, забыл ссылку на тему указать... скажите а может ли проблема с обновлениями касперского быть связана с этим файлом ? до этого пинг шёл на меня, а сейчас вообще не идёт...

Цитата:

Цитата foxbat

а может ли проблема с обновлениями касперского быть связана с этим файлом ? »

Проблема была связана с руткитом TDSserv и его модулями, после удаления проблема должна была исчезнуть, но то, что у вас winlogon.exe не оригинальный и патченнный (возможно зловред) тоже может влиять
В браузере (напр. firefox) на сайты www.kaspersky.com, www.drweb.com, www.microsoft.com заходит? С помощью CureIt проверялись?
За карантин спасибо, зловреды свежие, ушли в вир. лаборатории.
Попробуйте поставить SP3, KIS при этом желательно временно деинсталлировать KIS и после установки обновлений заново установить, проверьте после этого winlogon.exe на VT ещё раз

у меня сейчас нет возможности скачать sp3 (ограничен трафиком) - в ближайшее время озадачу друзей - скачают, а я поставлю. с помощью cureit не проверялся , на сайты заходит - норм. как решу проблему с winlogon сообщу вам, т.к. каспер так и не хочет обновлятся !

Цитата:

Цитата Pili

За карантин спасибо, зловреды свежие, ушли в вир. лаборатории. »

вам большое спасибо за помощь !

Цитата:

Цитата foxbat

каспер так и не хочет обновлятся ! »

Удалите его (полностью, можете пройтись доп. утилитой удаления) и заново установите, скорее всего сбой в самом софте, т.к. на сайты заходит.

Хорошо, так и сделаю