Подозрение на Bubnix-J + логи AVZ и Hijackthis

rlqwer · 15.09.2010, 01:05

Помогите пожалуйста разобраться с заразой... Симптомы: Avast долго ругался на Bubnix-J.. В результате система загружается минут 10, потом все вроде работает, но активно занят процессор.
Логи:
virusinfo_syscure.zip
hijackthis.log

Iljeben · 15.09.2010, 03:56

rlqwer, вот этот файл C:\WINDOWS\System32\Drivers\SPTD4365.SYS проверьте на virustotal.com результат сообщите.
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('FXDRV');
 DeleteFile('H:\Fxdrv.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

rlqwer · 16.09.2010, 01:56

Iljeben, спасибо за ответ.

Цитата:

Сообщение от Iljeben

rlqwer, вот этот файл C:\WINDOWS\System32\Drivers\SPTD4365.SYS проверьте на virustotal.com результат сообщите.

Это не удалось, почтовик пишет "файл не найден" (т.е. используется)...

Цитата:

Сообщение от Iljeben

Выполните в AVZ следующий скрипт...<skipped>
Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip

Вот:
virusinfo_syscheck.zip

Iljeben · 16.09.2010, 04:57

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Installer\{350FB27C-CF62-4EF3-AF9D-70FF313FE221}\iTunesIco.exe','');
 QuarantineFile('C:\WINDOWS\Installer\{2EEC2A94-7204-45C6-93BB-67EAEB19E4D6}\SafariIco.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD4365.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\SPTD4365.SYS');
 DeleteFile('C:\WINDOWS\Installer\{2EEC2A94-7204-45C6-93BB-67EAEB19E4D6}\SafariIco.exe');
 DeleteFile('C:\WINDOWS\Installer\{350FB27C-CF62-4EF3-AF9D-70FF313FE221}\iTunesIco.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.
Есть изменения в лучшую сторону?

rlqwer · 17.09.2010, 01:14

Цитата:

Сообщение от Iljeben

Есть изменения в лучшую сторону?

Увы, нет изменений, кроме того, что Daemon Tools просит SPTD4365.SYS и не запускается (

Вот логи:
virusinfo_syscheck.zip

Iljeben · 17.09.2010, 01:39

rlqwer, вот такой лог сделайте:

Цитата:

1. Скачайте установочный файл mbam-setup.exe
Здесь: http://www.besttechie.net/mbam/mbam-setup.exe
Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы программы!!!
4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!!
5. По окончании сканирования будет сгенерирован лог.
6. Залейте его без переименования на файлообменник и ссыку выложите на форум.

Цитата:

Сообщение от rlqwer

Увы, нет изменений, кроме того, что Daemon Tools просит SPTD4365.SYS и не запускается (

Запустите AVZ. Там Файл-Просмотр карантина найдите файл C:\WINDOWS\System32\Drivers\SPTD4365.SYS поставьте галочку и нажмите "Восстановить".

rlqwer · 17.09.2010, 22:07

Цитата:

Сообщение от Iljeben

rlqwer, вот такой лог сделайте

Вот он:
mbam-log-2010-09-17 (21-04-27).txt

Iljeben · 18.09.2010, 00:39

rlqwer, Удалите в Malwarebytes Anti-Malware отметив галками, и нажав удалить выделенное, вот это:

Цитата:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\anastasia.eprotocol (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{82184935-b894-4ab2-8590-603ba7d74b71} (Trojan.BHO) -> No action taken.

Зараженные папки:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.

Зараженные файлы:
C:\Program Files\Common Files\Microsoft Shared\Office10\OfficeXP_Activator.exe (RiskWare.Tool.CK) -> No action taken.
C:\Program Files\DAEMON Tools\SetupDTSB.exe (Adware.WhenU) -> No action taken.
C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll (Trojan.Backdoor) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Applicati on Data\apiqfw.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\RL\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.

Перезагружаемся и смотрим что с проблемой.

rlqwer · 18.09.2010, 19:58

Iljeben, спасибо за помощь.
Сейчас состояние такое: винда по-прежнему грузится долго - еще минут 5 после того, как появляется рабочий стол. Процессор загружен нормально. Что еще можно сделать?

Iljeben · 18.09.2010, 21:43

Пуск-Выполнить-msconfig-ОК. Вкладка "Автозагрузка" выложите скрин.

rlqwer · 18.09.2010, 23:04

Вот:
msconfig.jpg

Iljeben · 18.09.2010, 23:38

В автозагрузке многовато висит. Можно почиститься.

rlqwer · 19.09.2010, 00:02

Удалил почти все, не отразилось никак. Переставить винду поверх существующей?

Iljeben · 19.09.2010, 00:10

Цитата:

Сообщение от rlqwer

Удалил почти все, не отразилось никак.

Надеюсь не проги удалил? Диспетчер устройств-IDE ATA контролеры там первичные и вторичные каналы в вкладке "Дополнительные параметры" посмотри, не стоит ли режим передачи PIO на каком-либо из контроллеров.

rlqwer · 19.09.2010, 00:15

Цитата:

Сообщение от Iljeben

Надеюсь не проги удалил?

Нет конечно) Галочки поснимал в автозагрузке

Цитата:

Сообщение от Iljeben

Диспетчер устройств-IDE ATA контролеры там первичные и вторичные каналы в вкладке "Дополнительные параметры" посмотри, не стоит ли режим передачи PIO на каком-либо из контроллеров.

Везде стоит "DMA, если доступно"

15.09.2010, 01:05	#1 (ссылка)
rlqwer Новичок Регистрация: 15.09.2010 Сообщений: 10 Репутация: 0	Подозрение на Bubnix-J + логи AVZ и Hijackthis Помогите пожалуйста разобраться с заразой... Симптомы: Avast долго ругался на Bubnix-J.. В результате система загружается минут 10, потом все вроде работает, но активно занят процессор. Логи: virusinfo_syscure.zip hijackthis.log

15.09.2010, 03:56	#2 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	rlqwer, вот этот файл C:\WINDOWS\System32\Drivers\SPTD4365.SYS проверьте на virustotal.com результат сообщите. Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('FXDRV'); DeleteFile('H:\Fxdrv.sys'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
подозрение на наличие вирусов(логи)	nail58	Безопасность	1	17.12.2010 03:43
подозрение на наличие вирусов(логи)	nail58	Интернет и сети	1	17.12.2010 01:22
логи AVZ и HiJackThis	БЕКИС	Безопасность	4	06.12.2010 23:28
логи AVZ и HiJackThis	alex014	Безопасность	7	30.11.2010 22:39
логи avz и hijackthis - что скажете?	Gosha	Безопасность	4	08.11.2010 21:57
Есть подозрение, проверьте логи	Эд516	Безопасность	4	06.11.2010 01:24
логи утилиты HiJackThis	katya20201	Безопасность	0	02.11.2010 16:46
Логи с AVZ и hijackthis	Roman	Безопасность	14	23.09.2010 18:38
Логи AVZ и hijackthis	chel-vl	Безопасность	5	21.05.2010 17:46
Прошу проверить логи AVZ и hijackthis	Volkodav	Безопасность	7	12.04.2010 23:20
У меня подозрение на вирусы проверьте логи	Сидъ	Безопасность	6	26.01.2010 16:07
пожалуйста помогите! посмотрите логи AVZ и HiJackThis	grigori	Безопасность	8	07.01.2010 07:26

18.09.2010, 19:58	#9 (ссылка)
rlqwer Новичок Регистрация: 15.09.2010 Сообщений: 10 Репутация: 0	Iljeben, спасибо за помощь. Сейчас состояние такое: винда по-прежнему грузится долго - еще минут 5 после того, как появляется рабочий стол. Процессор загружен нормально. Что еще можно сделать?

18.09.2010, 21:43	#10 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Пуск-Выполнить-msconfig-ОК. Вкладка "Автозагрузка" выложите скрин.

18.09.2010, 23:04	#11 (ссылка)
rlqwer Новичок Регистрация: 15.09.2010 Сообщений: 10 Репутация: 0	Вот: msconfig.jpg

18.09.2010, 23:38	#12 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	В автозагрузке многовато висит. Можно почиститься.

19.09.2010, 00:02	#13 (ссылка)
rlqwer Новичок Регистрация: 15.09.2010 Сообщений: 10 Репутация: 0	Удалил почти все, не отразилось никак. Переставить винду поверх существующей?

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads