явно вирусы

[qwertyqwerty11]

что-то постоянно лезет в нет. не переключаетя английская раскладка. вылазят сообщения нода о prxjdg.cgi

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\cndrive32.exe');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Dropbox\bin\Dropbox.exe','');
 QuarantineFile('C:\WINDOWS\cndrive32.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\system32\21.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-7565877588-3405842752-523490569-0767\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-7565877588-3405842752-523490569-0767\syscr.exe');
 DeleteFile('C:\WINDOWS\system32\21.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\WINDOWS\cndrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
  ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

[qwertyqwerty11]

Карантин прислал.

[polword]

1. удалите в MBAM

Код:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

2. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

R3 - URLSearchHook: (no name) -  - (no file)

3. Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R9L40GU2\lol[1].exe','');
 QuarantineFile('C:\WINDOWS\innounp.exe','');
 QuarantineFile('C:\WINDOWS\system32\25.exe','');
 QuarantineFile('C:\WINDOWS\system32\66.exe','');
 QuarantineFile('C:\WINDOWS\system32\86.exe','');
 QuarantineFile('D:\Distr\проги\guitar\ik_amplitube\keygen\ikamplkg.exe','');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\R9L40GU2\lol[1].exe');
 DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 DeleteFile('C:\RECYCLER\S-1-5-21-7565877588-3405842752-523490569-0767\syscr.exe');
 DeleteFile('C:\WINDOWS\innounp.exe');
 DeleteFile('C:\WINDOWS\system32\25.exe');
 DeleteFile('C:\WINDOWS\system32\66.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог MBAM

[qwertyqwerty11]

Каюсь, пару файлов из карантина удалил антивирус - забыл отключить во время архивации. Остальное загрузилось.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
end.

еще что-нибудь беспокоит?

[qwertyqwerty11]

Наблюдается странная активнойсть в модеме (вплоть до качания чего-то с приличными скоростями), а нод недавно выдал такое

[polword]

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

понаблюдайте за проблемой, отпишитесь

[qwertyqwerty11]

Выполнил рекомендованные действия.
Периодически что-то продолжает ломиться в нет, иногда параллельно с этим антивирус указывает на файлы типа
http://208.53.183.222/tcalc.exe
...zbf.exe
...mjs.exe
На днях снова была перестала переключаться раскладка, было поправлено антивирусом, нашел якобы трояна.
Периодически нод орет на одни и те же зараженные файлы в системных папках, удаляет их, после перезагрузки все повторяется.
При старте системы открывается папка "мои документы".

Всю эту заразу я подцепил с чужого незащищенного винта (перед написанием первого сообщения этой темы). Сомневаюсь, что после этого я подцеплял что-то новое.
Проверьте, пожалуйста, логи.

[AndreyKa]

Установите надежные пароли на учетные записи пользователей с правами администратора.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 ExecuteRepair(16);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-4158096977-9346503649-071511188-2127\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-4158096977-9346503649-071511188-2127\syscr.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[qwertyqwerty11]

Установите надежные пароли на учетные записи пользователей с правами администратора.

Поясните плз как это сделать.

[AndreyKa]

Панель управления - Учетные записи пользователей - Учетные записи пользователей - Сменить пароль.

[qwertyqwerty11]

Сделал.

[AndreyKa]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
DeleteFile('C:\Documents and Settings\Admin\Application Data\ltzqai.exe');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[qwertyqwerty11]

сделал

[AndreyKa]

В логе нет ничего подозрительного.

Очистите карантин. Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 36
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin\application data\ltzqai.exe - Trojan.Win32.Buzus.euid ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Buzus.HV, AVAST4: Win32:Trojan-gen )
  2. c:\documents and settings\admin\application data\ltzqai.exe - Trojan.Win32.Dialer.wdb ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Dropper.Agent.VAI, NOD32: Win32/Inject.NDR trojan, AVAST4: Win32:Malware-gen )
  3. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\r9l40gu2\lol[1].exe - Trojan.Win32.Buzus.etyy ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RNI, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
  4. c:\recycler\s-1-5-21-7565877588-3405842752-523490569-0767\syscr.exe - Trojan.Win32.Buzus.euhk ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Buzus.HU, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
  5. c:\windows\cndrive32.exe - Trojan.Win32.Buzus.eugy ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RNI, AVAST4: Win32:Trojan-gen )
  6. c:\windows\system32\msvmiode.exe - Email-Worm.Win32.Joleee.fct ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Inject.ZK, AVAST4: Win32:Trojan-gen )
  7. c:\windows\system32\21.exe - Trojan.Win32.Buzus.etui ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Worm.Generic.266144, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )
  8. c:\windows\system32\86.exe - Trojan.Win32.Buzus.etyy ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Agent.Delf.RNI, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Trojan-gen )