Kryptik.GT, Wigon и Spy.Small.NBT

[nova5]

Добрый день,

Сегодня, видимо, что то подцепил в сети, до этого система работа 3 года стабильно.
Антивирус - НОД32, лицензия, базы от 09.03.2009г.
При запуске системы и входе в сеть помещает в карантин:

• Win32/Kryptik.GT
• Win32/Wigon
• Win32/Spy.Small.NBT

Насколько я понимаю, лечить он не хочет, лишь складывает в карантин (((

Помимо этого не запускаются Firefox, qip, notepad++, возможно что то ещё, что не попалось мне на глаза, при этом две последние вылетают с ошибкой Application Error, ФФ же просто висит процессом.

При запуске системы появился Logon Screen (т.е. выбор пользователя), хотя он всего один, раньше этого момента при загрузке не было.
Также, при загрузке, вылетает ошибка:
mDNSResponder.exe - Application Error
The memory could not be "written"...

Буду очень признателен за помощь =)

[Rene-gad]

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Скачайте AVZ отсюда: www.z-oleg.com/avz.exe, базы обновлять в нем не надо,сделайте новые логи.

[nova5]

Скачайте AVZ отсюда: www.z-oleg.com/avz.exe, базы обновлять в нем не надо,сделайте новые логи.

новые логи

я понимаю, что у вас очень большое кол-во запросов и вы по возможности помогаете всем, но у меня большая просьба к вам, не забыть и про мою проблему, очень не хочется перестанавливать систему, уж очень много всего завязано на ней.

ещё раз, спасибо =)

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
 QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
 QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи

Код:

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[nova5]

все манипуляции выполнил.

карантин отправил:
Файл сохранён как 090310_213240_2009-03-10_49b6b2486ac94.zip

новые логи во вложениях.

ЗЫ сегодня появились новые симптомы. То ли снесло крышу у НОДа, то ли что то ещё, он начал нападать на все ЕХЕшники, сообщая что там вирусы и подобная гадость, уже половина программ потеряли свои значки (стали просто белыми) и, соответственно, не запускаются.
Записал LiveCD Dr.Web'а, проверил, ничего не выявил... странно, кто то врет, либо НОД, либо Др.Веб.

ЗЗЫ вы, как профи, скажите, это лечется или нет, заразно ли для моей информации, т.к. она очень важна для меня и моей работы (((

спасибо =)

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

-Пофиксите

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKCU\..\Run: [services] C:\WINDOWS\SERVICES.EXE
O16 - DPF: {BDEE1959-AB6B-4745-A29B-F492861102CC} -

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
 TerminateProcessByName('c:\windows\services.exe');
 DeleteFile('c:\windows\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи

Код:

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.[/QUOTE]

[nova5]

все манипуляции выполнил, логи прилагаю.

[nova5]

только что произвел проверку CureIt'ом (записанный на DVD'шку), результат почти нулевой:

c:\windows\system32\9F.tmp - Trojan.Spambot.4349
c:\windows\system32\F.tmp - Trojan.Spambot.4349

он их вылечил удалением, но тем не менее, ИМХО, это не главная зараза системы... что посоветуете делать дальше?

ЗЫ система уже 3 дня в "подвешенном" состоянии, всё ещё надеюсь на вас, не сношу, ибо очень сложно будет все восстанавливать =)

[V_Bond]

в логах ничего плохого не увидел ... что с проблемами ?

[nova5]

в логах ничего плохого не увидел ... что с проблемами ?

после удаления бонжура, он перестал ругаться на запуск сервиса.

осталось паническое нападение NOD'а на многие ЕХЕ'шники в Program Files и Windows, при этом, после его лечения/либо чего то ещё, они теряют свои значки и, соответственно, перестают запускаться.

список ругательств НОДа:

• Win32/Virut.NBM (больше всего ругательств на него, при этом самое большое кол-во заблокированных его копий в system32/spoolsv.exe)
• Win32/Agent
• Win32/Joleee.NF

Может заменить НОД на каспера, например, или опасно в такой ситуации?

[V_Bond]

http://virusinfo.info/showthread.php?t=15927

[nova5]

http://virusinfo.info/showthread.php?t=15927

проверку CureIt'ом проводил вчера, результатов это не принесло.

сегодня, с утра, поставил на проверку с LiveCD Dr.Web'а, думаю, к вечеру проверка закончится ))

если и это не принесет плодов, возьму завтра винт на работу, там установлен корпоративный каспер, возможно, он что найдет.

так что пока проблема не решена ((

Добавлено через 11 часов 15 минут

сейчас подключил винт к рабочему не заражённому компьютеру, на нем каспер 2009 (пока триал, но базы последние), запустил скан по зараженному диску, дошла проверка до папочки винды:

12.03.2009 19:33:33 Обнаружено: Virus.Win32.Virut.ce H:\WINDOWS\$NtServicePackUninstall$\cacls.exe
12.03.2009 19:33:33 Не вылечено: Virus.Win32.Virut.ce H:\WINDOWS\$NtServicePackUninstall$\cacls.exe Отложено
12.03.2009 19:34:21 Обнаружено: Virus.Win32.Virut.ce H:\WINDOWS\$NtServicePackUninstall$\powercfg.exe
12.03.2009 19:34:21 Не вылечено: Virus.Win32.Virut.ce H:\WINDOWS\$NtServicePackUninstall$\powercfg.exe Отложено
12.03.2009 19:43:13 Обнаружено: Virus.Win32.Virut.ce H:\WINDOWS\system32\fixmapi.exe
12.03.2009 19:43:13 Не вылечено: Virus.Win32.Virut.ce H:\WINDOWS\system32\fixmapi.exe Отложено

и т.д.

Что делать, не подскажите, можно ли лезть на этот диск и удалять эти файлы вручную, без угрозы заражения здорового компьютера?

[Rene-gad]

Отложенные файлы с помощью АВЗ найдите и пришлите по правилам.

[nova5]

отправил:

Файл сохранён как 090312_200805_virus_49b941750c0b3.zip

Добавлено через 57 минут

что скажите насчет карантина, есть что интересное и как это лечится?

[Гриша]

Результата по карантину пока нет, но ни KIS, Dr.Web, VBA у нас не среагировали...

[nova5]

Результата по карантину пока нет, но ни KIS, Dr.Web, VBA у нас не среагировали...

наконец закончилось сканирование, каспер отрапортовал, что вылечены почти все (2 файла удалил, остальное вылечил).

вернул зараженный винт на место, запустил систему, НОД работает тихо, ни на что не нападает, трафика в интернет тоже нет, но квип и ФайрФокс все равно не запускаются (( остальное пока не тестил.

мб что вы посоветуете сделать дальше?

[Гриша]

что не работает переустановить, лечение не всегда гарантирует работоспособность файла...

[nova5]

что не работает переустановить, лечение не всегда гарантирует работоспособность файла...

с этим я согласен, мне главное, чтобы система была вылечена

прилагаю последние логи, гляньте пожалуйста, мб что ещё осталось.

а также карантин: 090313_074118_virus_49b9e3ee5ce2f.zip

[Гриша]

acls.exe_, fixmapi.exe_, hostname.exe_, ie4uinit.exe_, powercfg.exe_, tintsetp.exe_, unlodctr.exe_, wmsetsdk.exe_, wscript.exe_

Вредоносный код в файлах не обнаружен.

Выполните:

http://virusinfo.info/showthread.php?t=27923
http://virusinfo.info/showpost.php?p=114778&postcount=1

Повторите пункт 2 диагностики...

[nova5]

Повторите пункт 2 диагностики...

выполнил, логи прилагаю