Зараженный svchost.exe, появление вирусов в Recycler и прочая, прочая

[Morpheus]

День добрый! Решил обратиться на ваш форум, ибо надежды у меня более нету..
Некоторое время компьютер был без антивируса; видимо, тогда и заразился. После повторной установки KIS помочь уже ничем не смог, т.к. вирус встроился в систему крепко.
В чем выражается действие вируса - постоянное пропадание звука, перебои с интернетом, появление различных зараженных exe-файлов в системных папках и в автозапуске, появление на всех дисках в папках Recycler и System Volume Information троянов.
Нашел соответствие с темой http://virusinfo.info/showthread.php?t=59193 , а также http://virusinfo.info/showthread.php...light=usb_magr (в одно время присутствовал usb_magr.exe)
Очень надеюсь на помощь, потому что сил и идей для борьбы с вирусом больше нет.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SQJL75B7\vs8[1].exe','');
 QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temp\409.exe','');
 QuarantineFile('E:\RECYCLER\S-1-5-21-5895244299-9687726348-596259165-1146\wmfcgr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
 QuarantineFile('e:\windows\system32\wshost32.exe','');
 QuarantineFile('e:\windows\system32\umdmgr.exe','');
 DeleteFile('e:\windows\system32\umdmgr.exe');
 DeleteFile('e:\windows\system32\wshost32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
 DeleteFile('E:\RECYCLER\S-1-5-21-5895244299-9687726348-596259165-1146\wmfcgr.exe');
 DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temp\409.exe');
 DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SQJL75B7\vs8[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Morpheus]

Карантин прислал.
Логи:

Заметил ещё, что на диске С (а системный у меня - Е) вирус насоздавал липовых файлов для бута:
ntldr
AUTOEXEC.BAT
Bootfont.bin
NTDETECT.COM
boot.ini
CONFIG.SYS
IO.SYS
MSDOS.SYS

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFileMask('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\','*.*',true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('');
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Заметил ещё, что на диске С вирус насоздавал липовых файлов для бута:

Это не вирус создал. Загляните в файл boot.ini

[Morpheus]

Устройство удалилось, удалил его.
А вирус ещё действует - снова поменялась тема виндовса
Карантин залил...
Логи:

[Rene-gad]

Прогоните Кидо Киллер http://support.kaspersky.ru/faq/?qid=208636215
Потом сделайте новые логи.

[Morpheus]

КК ничего не нашел, хотя своими глазами вижу в процессах две штуки зараженных..
Очень похоже на http://virusinfo.info/showthread.php?t=53472
Делать логи нет смысла, наверное?

[Rene-gad]

-Пофиксите:

Код:

O4 - HKLM\..\Run: [wshost32] E:\WINDOWS\system32\wshost32.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] E:\WINDOWS\jcdrive32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKCU\..\Run: [12CFG214-K641-24SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] E:\WINDOWS\jcdrive32.exe

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temp\683.exe','');
 DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temp\683.exe');
 DeleteFileMask('E:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Morpheus]

Карантин:

Код:

Файл сохранён как 091105_222029_virus_4af3257d4b8d1.zip 
Размер файла 287578 
MD5 235f6b850e5c6abb0d657b3e087e21ac

Делаю лог МБАМа...

[Morpheus]

МБАМ понаходил таки много )
Логи:

[thyrex]

Удалить в MBAM

Код:

Заражено процессов в памяти:
E:\WINDOWS\jcdrive32.exe (Trojan.Ranky) -> No action taken.
E:\WINDOWS\system32\umdmgr.exe (Worm.AutoRun) -> No action taken.
E:\WINDOWS\system32\wshost32.exe (Trojan.Dropper) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wshost32 (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Trojan.Ranky) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Trojan.Ranky) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rade3135.tmp (Worm.AutoRun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-24sf-n85p (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rad23361.tmp (Worm.AutoRun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.

Заражено файлов:
E:\WINDOWS\system32\wshost32.exe (Trojan.FakeAlert.H) -> No action taken.
E:\WINDOWS\jcdrive32.exe (Trojan.Ranky) -> No action taken.
E:\WINDOWS\system32\umdmgr.exe (Worm.AutoRun) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Application Data\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temp\168.exe (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temp\470.exe (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temp\495.exe (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SQJL75B7\nemexp[1].exe (Trojan.Dropper) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\SQJL75B7\um.1[1].exe (Worm.AutoRun) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\UPV5PWT8\vs8[1].exe (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\UPV5PWT8\pr3xy[1].exe (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\UPV5PWT8\expallmain[1].exe (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00001.dta (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00002.dta (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00003.dta (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00004.dta (Trojan.Ranky) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Infected\2009-11-05\avz00005.dta (Backdoor.Bot) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00001.dta (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00002.dta (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00004.dta (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00005.dta (Trojan.Dropper) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00006.dta (Worm.AutoRun) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00007.dta (Trojan.Agent) -> No action taken.
E:\Documents and Settings\Администратор\Рабочий стол\AV\avz4\Quarantine\2009-11-05\avz00008.dta (Backdoor.Bot) -> No action taken.

[Morpheus]

Не помогло... Он поудалял что смог, конечно, но вирусы при перезагрузке восстановились.
Логи:

[Morpheus]

Нашел полное соответствие с данной проблемой http://virusinfo.info/showthread.php...ht=svchost.exe

[Никита Соловьев]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temp\917.exe','');
 QuarantineFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M47SH1SG\vs8[1].exe','');
 QuarantineFile('E:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('E:\WINDOWS\system32\umdmgr.exe','');
 QuarantineFile('E:\WINDOWS\system32\msdrvinf.exe','');
 QuarantineFile('E:\RECYCLER\S-1-5-21-3611606246-7470724678-925835543-6614\wmfcgr.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
 DeleteFile('E:\RECYCLER\S-1-5-21-3611606246-7470724678-925835543-6614\wmfcgr.exe');
 DeleteFile('E:\WINDOWS\system32\msdrvinf.exe');
 DeleteFile('E:\WINDOWS\system32\umdmgr.exe');
 DeleteFile('E:\WINDOWS\system32\wshost32.exe');
 DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\M47SH1SG\vs8[1].exe');
 DeleteFile('E:\Documents and Settings\Администратор\Local Settings\Temp\917.exe');
 DeleteFileMask('E:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
 DeleteFileMask('E:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rad72E1E.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rad2ED02.tmp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

Сделайте новые логи

[Morpheus]

Карантин залил, новые логи:

[Никита Соловьев]

В логах чисто. Проблема решена?

[Morpheus]

Нет.. При выполнении диагностических скриптов заметно, как меняется тема виндовса. Да и в логах видно перехваченные службы.
Не могу найти где, но видел на форуме скрипты с удалением ключей к svchost из реестра - вирус же прилепился к нему..
Может быть, попробовать нечто подобное?

[Rene-gad]

При выполнении диагностических скриптов заметно, как меняется тема виндовса.

O4 - HKCU\..\Run: [VistaIcon] E:\Program Files\VistaDriveIcon\VistaDrv.exe

Ну Вы же сами эту хреновину поставили? Теперь и нет покоя с дизайном Виндовс.

Да и в логах видно перехваченные службы.

Ну так а в чём тут криминал? Так и должно быть.

Не могу найти где, но видел на форуме скрипты с удалением ключей к svchost из реестра - вирус же прилепился к нему..

Ищите. Только после их выполнения система сразу ляжет.
Повторите лог МБАМ и Сделайте лог GMER.

[Morpheus]

Ну Вы же сами эту хреновину поставили?
Теперь и нет покоя с дизайном Виндовс.

Таки да )
Логи

[V_Bond]

удалите все что предложил мбам ...
пофиксите ...

Код:

O4 - HKCU\..\Run: [Test321] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe