Пожилой Win XP SP3 после вирусов [Trojan-Ransom.Win32.Foreign.laou, Backdoor.Win32.Androm.eumk ]

[Rib]

Имеется бухгалтерский компьютер (Windows XP SP3 32-bit), система на котором давно не переустанавливалась. В основном из-за наличия ряда специфических бухгалтерских программ, с которыми неохота возиться с переустановкой.

Пережил несколько заражений, с которыми как-то справлялись.
Но сейчас работает "со странностями" - может начать тормозить и зависать без видимых причин.
Хотелось бы разобраться/устранить возможные негативные последствия вирусов.

Из замеченного необычного - несмотря на отключенную службу обновления, висит в процессах WINDOWS\system32\wuauclt.exe ( http://piccy.info/view3/6901188/1827...993a6c5272dc1/ )

Логи - прилагаю )

virusinfo_syscheck.zip
hijackthis.log
virusinfo_syscure.zip

[Info_bot]

Уважаемый(ая) Rib, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Natalya\Application Data\zvit9\ctrlzvit9.exe','');
 QuarantineFile('C:\Documents and Settings\Natalya\Application Data\Microsoft\Windows\dllcache\w32tm.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msyazzx.com','');
 QuarantineFile('C:\Documents and Settings\Natalya\Application Data\Microsoft\Windows\dllcache\taskman.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\mspfwh.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\mspfwh.exe','32');
 DeleteFile('C:\Documents and Settings\Natalya\Application Data\Microsoft\Windows\dllcache\taskman.exe','32');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msyazzx.com','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','32382');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1417891399');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ezvitInfo');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','taskman');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','taskman');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','taskman');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','taskman');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','w32tm');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','w32tm');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Command Processor','AutoRun');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Command Processor\','Autorun');
 DeleteFile('C:\Documents and Settings\Natalya\Application Data\Microsoft\Windows\dllcache\w32tm.exe','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','w32tm');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','w32tm');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Command Processor','AutoRun');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Command Processor\','Autorun');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','w32tm');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','w32tm');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Command Processor','AutoRun');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Command Processor\','Autorun');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Rib]

Карантин загрузил.
Прикручиваю логи.

[thyrex]

Сделайте лог полного сканирования МВАМ

[Rib]

Проверку произвёл
Вот отчёт

[thyrex]

Поместите в карантин МВАМ всё, кроме

Код:

Processes: 1
Trojan.FakeAlert, C:\WINDOWS\kmsem\KMService.exe, 1872, , [316810b9e992da5c7836f16e34cc4cb4]

Files: 410
Trojan.FakeAlert, C:\WINDOWS\kmsem\KMService.exe, , [316810b9e992da5c7836f16e34cc4cb4],
PUP.Hacktool, C:\Program Files\Microsoft Office\activator.exe, , [0d8c94351f5cd462debd2660d729e11f], 
Trojan.Dropped, C:\WINDOWS\system32\WPISTART.EXE, , [57424f7afa81e05666d3fec8d62b48b8], 
Trojan.Dropped, C:\WINDOWS\system32\HIDCON.EXE, , [9207dced0774c37379c0daecfc0525db], 
PUP.Optional.OpenCandy, C:\_InstallPack\winamp5622_full_emusic-7plus_all.exe, , [fb9ea0293645e35363a841cd996cf30d], 
Trojan.KillAV, C:\_InstallPack\ACDSee\ACDSee v8_0\ACDSee_8.0_Cracked_sLayer.rar, , [8910ad1cc5b67eb812d2a70ea064fd03], 
Trojan.Agent.CK, C:\_InstallPack\TheBat\The Bat! 3.5.26\tbkgen.exe, , [a4f59633a7d450e6348908fa09f97987], 
RiskWare.Tool.CK, C:\_InstallPack\winRAR_410\crack.rar, , [29708841cab1aa8c211dea0c27dadb25], 
RiskWare.Tool.HCK, C:\_InstallPack\_SystemTM\SystemInfo\AIDA64 Extreme Edition 2.70.2212 Beta Portable\Keygen-CHiLi.rar, , [c5d4993081fae35337c460b34cb62ed2], 
PUP.Optional.InstallCore, C:\_InstallPack\_SystemTM\Unlocker\Unlocker1.9.2.exe, , [4851c2073b40a78ff420a273d62bed13],

[Rib]

Спасибо!
Всё почистил и повторно проверил - чисто!

[regist]

MBAM деинсталируйте.

Проблема решена?

[Rib]

Время покажет )
На данный момент вроде бы нормально работает компьютер.
Спасибо за помощь!

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\natalya\application data\microsoft\windows\dllcache\w32tm.exe - Trojan-PSW.Win32.Tepfer.umlf ( BitDefender: Gen:Variant.Zusy.101801 )
  2. c:\documents and settings\natalya\application data\zvit9\ctrlzvit9.exe - Trojan-Ransom.Win32.Foreign.laou ( BitDefender: Gen:Variant.Graftor.151189, AVAST4: Win32:Malware-gen )
  3. c:\docume~1\alluse~1\locals~1\temp\msyazzx.com - Backdoor.Win32.Androm.eumk ( BitDefender: Gen:Variant.Graftor.137168 )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !