Вирус ничем не определяется!

@warza · Регистрация: 08.12.2010

Author24 — интернет-сервис помощи студентам

Завелся странная зараза, касперский никак не реагирует, нод 32 тоже.
В чем собственно зараза, сижу се за компом, хожу по нормальным сайтам типа яндекс или почту проверяю (не по порно сайтам, там вирусы проще), потом бац AnVir Task Manager сообщяет о добавлении программы в автозагрузку. Проверил программу на вирус тотале, из 40 антивирусов тока 3 спалили, панда нод и еще чото. Вожу название проги (оно всегда разное) rgdrsettgsd.exe и такого названия вообще нет 0 результатов поиска!!! Еще подозрения что заражен фтп менеджер, иногда вирус просачивается на сайты.

magirus · 16.03.2011, 00:16

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@warza · 16.03.2011, 16:06 **[ТС]**

Логи во вложениях!
Рекомендации выполнены

@~~Katharsis~~ · 17.03.2011, 15:41

1.Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
  begin   
    ExecuteFile('sfc /scannow', '', 1, 0, true);
    AddToLog('Пользователь выполнил "sfc /scannow"');
    SaveLog('Recover_' + Name + '.log');
  end
 else
  begin
    AddToLog('Пользователь выбрал самостоятельный способ замены.');
    SaveLog('Recover_' + Name + '.log');
  end;
end;

Procedure CompleteFix(Path, Name : string);
begin
   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
   CopyFile(Path + Name, '%windir%\system32\' + Name);
   DeleteFile('%windir%\system32\' + Name + '.bak');
end;

Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
   begin
     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
     SaveLog('Recover_' + Name + '.log');
     SysFileRecoverFromDistrib(Path, Name);
   end
  else if FileExists('%windir%\system32\dllcache\' + Name) then
   begin
    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
      begin
        CompleteFix('%windir%\system32\dllcache\', Name); 
        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
        SaveLog('Recover_' + Name + '.log');
      end
    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
     begin
       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
        begin
          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
          SaveLog('Recover_' + Name + '.log');
        end
     end
   end;
 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
  begin
    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
    SaveLog('Recover_' + Name + '.log');
    SysFileRecoverFromDistrib(Path, Name);
  end;
end;
var SourcePath : String;
begin
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); 
end.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\xtgina.dll','');
 QuarantineFile('%windir%\system32\drivers\sfc.sys','');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

Recover_sfcfiles.log из папки avz выложите сюда.
после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

2.Проверьте на virustotal.com:

C:\WINDOWS\system32\xtgina.dll
C:\WINDOWS\system32\System32\sfcfiles.dll

ссылки на результат запостите здесь

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

5. Смените все пароли!

6. повторите логи avz. (также подготовьте логи rsit, предварительно скачав и установив higackthis)

к следующему посту должны быть приложены логи:
1.virusinfo_syscheck.zip
2.virusinfo_syscure.zip
3.log.txt (если превышает допустимый размер - запакуйте)
4.info.txt
5.gmer
6.mbam
7.Recover_sfcfiles.log

и не тяните время, зараза сидит серьёзная.

@warza · 18.03.2011, 02:08 **[ТС]**

Какие пароли менять?

И еще, при выключении компа, синий экран 0x0000008E

@~~Katharsis~~ · 18.03.2011, 08:05

Сообщение от warza

Какие пароли менять?

от учетных записей, e-mail, электронных денег, соц сетей и тд.

Сообщение от warza

И еще, при выключении компа, синий экран 0x0000008E

Включите запись дампов памяти. Для этого нажмите клавиши win+pause ("+" нажимать не нужно), откройте вкладку "дополнительно" - "загрузка и восстановление" в разделе "отказ системы " отметьте "записать событие в системный журнал" в поле "запись отладочной информации " выберите "малый дамп памяти" в следующем поле - укажите папку для сохранения (по умолчанию это C:\windows\minidump).

При включении записи минидампов в случае перезагрузок/отключений/синих экранов будет создана папка C:\windows\minidump, в которой появятся файлы с расширением .dmp Их также нужно будет приложить к теме.

+ логи 1-7

@warza · 18.03.2011, 18:38 **[ТС]**

После выполнения скрипта авз, появилась ошибка
"Невозможно загрузить DLL пользовательского интерфейса входа и чуть ниже кнопка перезагрузка"
В безопасный режим зайти невозможно, тока с лайва, но после лайв сиди, комп вообще даже до ошибки пользовательского интерфейса не доходит, и сразу в ребутЮ бесконечно.
Сейчас с другого компа

@~~Katharsis~~ · 18.03.2011, 19:31

Сообщение от warza

Невозможно загрузить DLL пользовательского интерфейса входа

должно быть указано имя dll, которая вызвала проблему.
случайно не C:\WINDOWS\system32\xtgina.dll там?

Установочный диск с windows у вас есть?
Если да, то ее нужно будет заменить.
Как произвести замену системных файлов

лог Recover_sfcfiles.log не сформировался? Ручную замену sfcfiles не делали?

@warza · 18.03.2011, 20:46 **[ТС]**

Dll не указан, но эта проблема уже менее важна, система падает в ребут, даже не успев загрущзится даже до ошипки с пользовательским входом, у меня есть уст. диск. попытаюсь востновить винду с него

@~~Katharsis~~ · 18.03.2011, 21:15

C:\WINDOWS\system32\xtgina.dll как раз и отвечает за пользовательский вход. Восстановите ее по инструкции

минидампы не создаются?

Сообщение от Katharsis

синий экран 0x0000008E

такая ошибка в большинстве случаев указывает на неисправную память.

@warza · 18.03.2011, 22:07 **[ТС]**

"Невозможно загрузить DLL" но на xtgina.dll не указывает, вообще не указывает какую длл не может загрузить.
xtgina.dll файла в установочном диске моей версии винды нет xp pro sp 2 ru! соответственно и востановить немогу.
М вообще файла xtgina.dll в интернете особо нет, следовательно его в системе и не должно быть, просто вирус чет поменял в системе и сменил чегото с чемто, для того чтобы через специально разработаную уязвимость прокрастся в систему.

@~~Katharsis~~ · 18.03.2011, 22:32

Сообщение от warza

xtgina.dll файла в установочном диске моей версии винды нет

В вашем логе он есть, соответственно возник не из воздуха. Но может дело и не в нем. По единственному логу, который вы выложили информации очень мало, видно только присутствие kido или tdss и sfc.sys

Вопрос про минидампы остается в силе. Кроме этого, если система по прежнему не грузится - через меню F8 отключите автоматическую перезагрузку. При появлении синего экрана запишите то, что написано после слова STOP и приведите сюда

@warza · 18.03.2011, 23:37 **[ТС]**

Вопросы 1) загрузки ребута, невозможность войти в безопасный режим 2) синего экрана при выключении и 3)ошибки пользовательского входа решил,
1 невозможность войти в безопасный режим и ребут ошибка при загрузки системы, решил так, загрузился с установочного диска винды, дошел до выбора директории установки, и мне было предложено попытаться востановить уже существующий xp (важно при таком раскладе теряется лицуха и уст. диск должен быть точно тот же что и система)
2 синий экран ущел после махинаций связанных с зараженными файлами в директории системс 32
(можно выяснить, при сортировке по дате недавно появившиеся или изменены могут быть либо инфицированы либо прямо вирусами)
3 ошибка была устранена после того как защел через безопасный режим (см 1) и в реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
На правой панели щелкните правой кнопкой мыши параметр GinaDLL и выберите команду Удалить. см http://support.microsoft.com/kb/817142/ru

xtgina.dll удалил (он был я не знал) все вроде работает
Еще не в курсе, удалил ли все хвосты вируса?

@~~Katharsis~~ · 18.03.2011, 23:54

какую то часть могли и удалить, но основное, то что у вас сидит, вручную не удаляется. sfc.sys должен быть удален скриптом.

сделайте логи:
1.virusinfo_syscheck.zip
2.virusinfo_syscure.zip
3.log.txt (если превышает допустимый размер - запакуйте)
4.info.txt
5.gmer
6.mbam
7.Recover_sfcfiles.log - должен быть уже готов после скрипта, находится в папке с avz

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 23:37 [ТС]	13
	Вопросы 1) загрузки ребута, невозможность войти в безопасный режим 2) синего экрана при выключении и 3)ошибки пользовательского входа решил, 1 невозможность войти в безопасный режим и ребут ошибка при загрузки системы, решил так, загрузился с установочного диска винды, дошел до выбора директории установки, и мне было предложено попытаться востановить уже существующий xp (важно при таком раскладе теряется лицуха и уст. диск должен быть точно тот же что и система) 2 синий экран ущел после махинаций связанных с зараженными файлами в директории системс 32 (можно выяснить, при сортировке по дате недавно появившиеся или изменены могут быть либо инфицированы либо прямо вирусами) 3 ошибка была устранена после того как защел через безопасный режим (см 1) и в реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon На правой панели щелкните правой кнопкой мыши параметр GinaDLL и выберите команду Удалить. см http://support.microsoft.com/kb/817142/ru xtgina.dll удалил (он был я не знал) все вроде работает Еще не в курсе, удалил ли все хвосты вируса? 0

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
		1
	Вирус ничем не определяется! 15.03.2011, 17:37. Показов 7031. Ответов 13 Метки нет (Все метки) Завелся странная зараза, касперский никак не реагирует, нод 32 тоже. В чем собственно зараза, сижу се за компом, хожу по нормальным сайтам типа яндекс или почту проверяю (не по порно сайтам, там вирусы проще), потом бац AnVir Task Manager сообщяет о добавлении программы в автозагрузку. Проверил программу на вирус тотале, из 40 антивирусов тока 3 спалили, панда нод и еще чото. Вожу название проги (оно всегда разное) rgdrsettgsd.exe и такого названия вообще нет 0 результатов поиска!!! Еще подозрения что заражен фтп менеджер, иногда вирус просачивается на сайты. 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	16.03.2011, 00:16	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 02:08 [ТС]	5
	Какие пароли менять? И еще, при выключении компа, синий экран 0x0000008E 0

@~~Katharsis~~ Заблокирован
	18.03.2011, 08:05	6
	Сообщение от warza Какие пароли менять? от учетных записей, e-mail, электронных денег, соц сетей и тд. Сообщение от warza И еще, при выключении компа, синий экран 0x0000008E Включите запись дампов памяти. Для этого нажмите клавиши win+pause ("+" нажимать не нужно), откройте вкладку "дополнительно" - "загрузка и восстановление" в разделе "отказ системы " отметьте "записать событие в системный журнал" в поле "запись отладочной информации " выберите "малый дамп памяти" в следующем поле - укажите папку для сохранения (по умолчанию это C:\windows\minidump). При включении записи минидампов в случае перезагрузок/отключений/синих экранов будет создана папка C:\windows\minidump, в которой появятся файлы с расширением .dmp Их также нужно будет приложить к теме. + логи 1-7 0

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 18:38 [ТС]	7
	После выполнения скрипта авз, появилась ошибка "Невозможно загрузить DLL пользовательского интерфейса входа и чуть ниже кнопка перезагрузка" В безопасный режим зайти невозможно, тока с лайва, но после лайв сиди, комп вообще даже до ошибки пользовательского интерфейса не доходит, и сразу в ребутЮ бесконечно. Сейчас с другого компа 0

@~~Katharsis~~ Заблокирован
	18.03.2011, 19:31	8
	Сообщение от warza Невозможно загрузить DLL пользовательского интерфейса входа должно быть указано имя dll, которая вызвала проблему. случайно не C:\WINDOWS\system32\xtgina.dll там? Установочный диск с windows у вас есть? Если да, то ее нужно будет заменить. Как произвести замену системных файлов лог Recover_sfcfiles.log не сформировался? Ручную замену sfcfiles не делали? 0

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 20:46 [ТС]	9
	Dll не указан, но эта проблема уже менее важна, система падает в ребут, даже не успев загрущзится даже до ошипки с пользовательским входом, у меня есть уст. диск. попытаюсь востновить винду с него 0

@~~Katharsis~~ Заблокирован
	18.03.2011, 21:15	10
	C:\WINDOWS\system32\xtgina.dll как раз и отвечает за пользовательский вход. Восстановите ее по инструкции минидампы не создаются? Сообщение от Katharsis синий экран 0x0000008E такая ошибка в большинстве случаев указывает на неисправную память. 0

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 22:07 [ТС]	11
	"Невозможно загрузить DLL" но на xtgina.dll не указывает, вообще не указывает какую длл не может загрузить. xtgina.dll файла в установочном диске моей версии винды нет xp pro sp 2 ru! соответственно и востановить немогу. М вообще файла xtgina.dll в интернете особо нет, следовательно его в системе и не должно быть, просто вирус чет поменял в системе и сменил чегото с чемто, для того чтобы через специально разработаную уязвимость прокрастся в систему. 0

@~~Katharsis~~ Заблокирован
	18.03.2011, 22:32	12
	Сообщение от warza xtgina.dll файла в установочном диске моей версии винды нет В вашем логе он есть, соответственно возник не из воздуха. Но может дело и не в нем. По единственному логу, который вы выложили информации очень мало, видно только присутствие kido или tdss и sfc.sys Вопрос про минидампы остается в силе. Кроме этого, если система по прежнему не грузится - через меню F8 отключите автоматическую перезагрузку. При появлении синего экрана запишите то, что написано после слова STOP и приведите сюда 0

	18.03.2011, 23:54