Вирус ничем не определяется!

@warza · Регистрация: 08.12.2010

Студворк — интернет-сервис помощи студентам

Завелся странная зараза, касперский никак не реагирует, нод 32 тоже.
В чем собственно зараза, сижу се за компом, хожу по нормальным сайтам типа яндекс или почту проверяю (не по порно сайтам, там вирусы проще), потом бац AnVir Task Manager сообщяет о добавлении программы в автозагрузку. Проверил программу на вирус тотале, из 40 антивирусов тока 3 спалили, панда нод и еще чото. Вожу название проги (оно всегда разное) rgdrsettgsd.exe и такого названия вообще нет 0 результатов поиска!!! Еще подозрения что заражен фтп менеджер, иногда вирус просачивается на сайты.

magirus · 16.03.2011, 00:16

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@warza · 16.03.2011, 16:06 **[ТС]**

Логи во вложениях!
Рекомендации выполнены

@Katharsis · 17.03.2011, 15:41

1.Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
  begin   
    ExecuteFile('sfc /scannow', '', 1, 0, true);
    AddToLog('Пользователь выполнил "sfc /scannow"');
    SaveLog('Recover_' + Name + '.log');
  end
 else
  begin
    AddToLog('Пользователь выбрал самостоятельный способ замены.');
    SaveLog('Recover_' + Name + '.log');
  end;
end;
 
Procedure CompleteFix(Path, Name : string);
begin
   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
   CopyFile(Path + Name, '%windir%\system32\' + Name);
   DeleteFile('%windir%\system32\' + Name + '.bak');
end;
 
Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
   begin
     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
     SaveLog('Recover_' + Name + '.log');
     SysFileRecoverFromDistrib(Path, Name);
   end
  else if FileExists('%windir%\system32\dllcache\' + Name) then
   begin
    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
      begin
        CompleteFix('%windir%\system32\dllcache\', Name); 
        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
        SaveLog('Recover_' + Name + '.log');
      end
    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
     begin
       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
        begin
          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
          SaveLog('Recover_' + Name + '.log');
        end
     end
   end;
 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
  begin
    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
    SaveLog('Recover_' + Name + '.log');
    SysFileRecoverFromDistrib(Path, Name);
  end;
end;
var SourcePath : String;
begin
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); 
end.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\xtgina.dll','');
 QuarantineFile('%windir%\system32\drivers\sfc.sys','');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

Recover_sfcfiles.log из папки avz выложите сюда.
после перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

2.Проверьте на virustotal.com:

C:\WINDOWS\system32\xtgina.dll
C:\WINDOWS\system32\System32\sfcfiles.dl l

ссылки на результат запостите здесь

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

5. Смените все пароли!

6. повторите логи avz. (также подготовьте логи rsit, предварительно скачав и установив higackthis)

к следующему посту должны быть приложены логи:
1.virusinfo_syscheck.zip
2.virusinfo_syscure.zip
3.log.txt (если превышает допустимый размер - запакуйте)
4.info.txt
5.gmer
6.mbam
7.Recover_sfcfiles.log

и не тяните время, зараза сидит серьёзная.

@warza · 18.03.2011, 02:08 **[ТС]**

Какие пароли менять?

И еще, при выключении компа, синий экран 0x0000008E

@Katharsis · 18.03.2011, 08:05

Сообщение от warza

Какие пароли менять?

от учетных записей, e-mail, электронных денег, соц сетей и тд.

Сообщение от warza

И еще, при выключении компа, синий экран 0x0000008E

Включите запись дампов памяти. Для этого нажмите клавиши win+pause ("+" нажимать не нужно), откройте вкладку "дополнительно" - "загрузка и восстановление" в разделе "отказ системы " отметьте "записать событие в системный журнал" в поле "запись отладочной информации " выберите "малый дамп памяти" в следующем поле - укажите папку для сохранения (по умолчанию это C:\windows\minidump).

При включении записи минидампов в случае перезагрузок/отключений/синих экранов будет создана папка C:\windows\minidump, в которой появятся файлы с расширением .dmp Их также нужно будет приложить к теме.

+ логи 1-7

@warza · 18.03.2011, 18:38 **[ТС]**

После выполнения скрипта авз, появилась ошибка
"Невозможно загрузить DLL пользовательского интерфейса входа и чуть ниже кнопка перезагрузка"
В безопасный режим зайти невозможно, тока с лайва, но после лайв сиди, комп вообще даже до ошибки пользовательского интерфейса не доходит, и сразу в ребутЮ бесконечно.
Сейчас с другого компа

@Katharsis · 18.03.2011, 19:31

Сообщение от warza

Невозможно загрузить DLL пользовательского интерфейса входа

должно быть указано имя dll, которая вызвала проблему.
случайно не C:\WINDOWS\system32\xtgina.dll там?

Установочный диск с windows у вас есть?
Если да, то ее нужно будет заменить.
Как произвести замену системных файлов

лог Recover_sfcfiles.log не сформировался? Ручную замену sfcfiles не делали?

@warza · 18.03.2011, 20:46 **[ТС]**

Dll не указан, но эта проблема уже менее важна, система падает в ребут, даже не успев загрущзится даже до ошипки с пользовательским входом, у меня есть уст. диск. попытаюсь востновить винду с него

@Katharsis · 18.03.2011, 21:15

C:\WINDOWS\system32\xtgina.dll как раз и отвечает за пользовательский вход. Восстановите ее по инструкции

минидампы не создаются?

Сообщение от Katharsis

синий экран 0x0000008E

такая ошибка в большинстве случаев указывает на неисправную память.

@warza · 18.03.2011, 22:07 **[ТС]**

"Невозможно загрузить DLL" но на xtgina.dll не указывает, вообще не указывает какую длл не может загрузить.
xtgina.dll файла в установочном диске моей версии винды нет xp pro sp 2 ru! соответственно и востановить немогу.
М вообще файла xtgina.dll в интернете особо нет, следовательно его в системе и не должно быть, просто вирус чет поменял в системе и сменил чегото с чемто, для того чтобы через специально разработаную уязвимость прокрастся в систему.

@Katharsis · 18.03.2011, 22:32

Сообщение от warza

xtgina.dll файла в установочном диске моей версии винды нет

В вашем логе он есть, соответственно возник не из воздуха. Но может дело и не в нем. По единственному логу, который вы выложили информации очень мало, видно только присутствие kido или tdss и sfc.sys

Вопрос про минидампы остается в силе. Кроме этого, если система по прежнему не грузится - через меню F8 отключите автоматическую перезагрузку. При появлении синего экрана запишите то, что написано после слова STOP и приведите сюда

@warza · 18.03.2011, 23:37 **[ТС]**

Вопросы 1) загрузки ребута, невозможность войти в безопасный режим 2) синего экрана при выключении и 3)ошибки пользовательского входа решил,
1 невозможность войти в безопасный режим и ребут ошибка при загрузки системы, решил так, загрузился с установочного диска винды, дошел до выбора директории установки, и мне было предложено попытаться востановить уже существующий xp (важно при таком раскладе теряется лицуха и уст. диск должен быть точно тот же что и система)
2 синий экран ущел после махинаций связанных с зараженными файлами в директории системс 32
(можно выяснить, при сортировке по дате недавно появившиеся или изменены могут быть либо инфицированы либо прямо вирусами)
3 ошибка была устранена после того как защел через безопасный режим (см 1) и в реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows NT\CurrentVersion\WinLogon
На правой панели щелкните правой кнопкой мыши параметр GinaDLL и выберите команду Удалить. см http://support.microsoft.com/kb/817142/ru

xtgina.dll удалил (он был я не знал) все вроде работает
Еще не в курсе, удалил ли все хвосты вируса?

@Katharsis · 18.03.2011, 23:54

какую то часть могли и удалить, но основное, то что у вас сидит, вручную не удаляется. sfc.sys должен быть удален скриптом.

сделайте логи:
1.virusinfo_syscheck.zip
2.virusinfo_syscure.zip
3.log.txt (если превышает допустимый размер - запакуйте)
4.info.txt
5.gmer
6.mbam
7.Recover_sfcfiles.log - должен быть уже готов после скрипта, находится в папке с avz

Новые блоги и статьи Все статьи Все блоги /
Переходник USB-CAN-GPIO Eddy_Em 20.03.2026 Достаточно давно на работе возникла необходимость в переходнике CAN-USB с гальваноразвязкой, оный и был разработан. Однако, все меня терзала совесть, что аж 48-ногий МК используется так тупо: просто. . .	Оттенки серого Argus19 18.03.2026 Оттенки серого Нашёл в интернете 3 прекрасных модуля: Модуль класса открытия диалога открытия/ сохранения файла на Win32 API; Модуль класса быстрого перекодирования цветного изображения в оттенки. . .	SDL3 для Desktop (MinGW): Рисуем цветные прямоугольники с помощью рисовальщика SDL3 на Си и C++ 8Observer8 17.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-rectangles-sdl3-c. zip finish-rectangles-sdl3-cpp. zip	Символические и жёсткие ссылки в Linux. algri14 15.03.2026 Существует два типа ссылок — символические и жёсткие. Ссылка в Linux — это запись в каталоге, которая может указывать либо на inode «файла-ИСТОЧНИКА», тогда это будет «жёсткая ссылка» (hard link),. . .
[Owen Logic] Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ФедосеевПавел 14.03.2026 Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ВВЕДЕНИЕ Выполняя задание на управление насосной группой заполнения резервуара,. . .	делаю науч статью по влиянию грибов на сукцессию anaschu 13.03.2026 прикрепляю статью	SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186

	Вирус ничем не определяется! 15.03.2011, 17:37. Показов 7263. Ответов 13 Метки нет (Все метки) Завелся странная зараза, касперский никак не реагирует, нод 32 тоже. В чем собственно зараза, сижу се за компом, хожу по нормальным сайтам типа яндекс или почту проверяю (не по порно сайтам, там вирусы проще), потом бац AnVir Task Manager сообщяет о добавлении программы в автозагрузку. Проверил программу на вирус тотале, из 40 антивирусов тока 3 спалили, панда нод и еще чото. Вожу название проги (оно всегда разное) rgdrsettgsd.exe и такого названия вообще нет 0 результатов поиска!!! Еще подозрения что заражен фтп менеджер, иногда вирус просачивается на сайты. 0

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	16.03.2011, 00:16
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 02:08 [ТС]
	Какие пароли менять? И еще, при выключении компа, синий экран 0x0000008E 0

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 18:38 [ТС]
	После выполнения скрипта авз, появилась ошибка "Невозможно загрузить DLL пользовательского интерфейса входа и чуть ниже кнопка перезагрузка" В безопасный режим зайти невозможно, тока с лайва, но после лайв сиди, комп вообще даже до ошибки пользовательского интерфейса не доходит, и сразу в ребутЮ бесконечно. Сейчас с другого компа 0

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 20:46 [ТС]
	Dll не указан, но эта проблема уже менее важна, система падает в ребут, даже не успев загрущзится даже до ошипки с пользовательским входом, у меня есть уст. диск. попытаюсь востновить винду с него 0

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 22:07 [ТС]
	"Невозможно загрузить DLL" но на xtgina.dll не указывает, вообще не указывает какую длл не может загрузить. xtgina.dll файла в установочном диске моей версии винды нет xp pro sp 2 ru! соответственно и востановить немогу. М вообще файла xtgina.dll в интернете особо нет, следовательно его в системе и не должно быть, просто вирус чет поменял в системе и сменил чегото с чемто, для того чтобы через специально разработаную уязвимость прокрастся в систему. 0

@warza 63 / 1 / 3 Регистрация: 08.12.2010 Сообщений: 186
	18.03.2011, 23:37 [ТС]
	Вопросы 1) загрузки ребута, невозможность войти в безопасный режим 2) синего экрана при выключении и 3)ошибки пользовательского входа решил, 1 невозможность войти в безопасный режим и ребут ошибка при загрузки системы, решил так, загрузился с установочного диска винды, дошел до выбора директории установки, и мне было предложено попытаться востановить уже существующий xp (важно при таком раскладе теряется лицуха и уст. диск должен быть точно тот же что и система) 2 синий экран ущел после махинаций связанных с зараженными файлами в директории системс 32 (можно выяснить, при сортировке по дате недавно появившиеся или изменены могут быть либо инфицированы либо прямо вирусами) 3 ошибка была устранена после того как защел через безопасный режим (см 1) и в реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows NT\CurrentVersion\WinLogon На правой панели щелкните правой кнопкой мыши параметр GinaDLL и выберите команду Удалить. см http://support.microsoft.com/kb/817142/ru xtgina.dll удалил (он был я не знал) все вроде работает Еще не в курсе, удалил ли все хвосты вируса? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	18.03.2011, 23:54
	какую то часть могли и удалить, но основное, то что у вас сидит, вручную не удаляется. sfc.sys должен быть удален скриптом. сделайте логи: 1.virusinfo_syscheck.zip 2.virusinfo_syscure.zip 3.log.txt (если превышает допустимый размер - запакуйте) 4.info.txt 5.gmer 6.mbam 7.Recover_sfcfiles.log - должен быть уже готов после скрипта, находится в папке с avz 1