Подозрение на пачку вирусов, которые "выбивают" звуковую карту

[atkins]

Доброго времени суток! Проблема в следующем. При загрузке системы вскорости появляются окна об ошибке доступа к приложению ***.ехе и svchost.exeИнструкция по адресу 0x6fe216e2 обратилась к памяти по адресу 0x01e6005c. Память не может быть written. После этого пропадает звук. Повторные перезагрузки помогают ровно до тех пор, пока не появятся эти окна. CureIt находит порядка 250 зараженных файлов и после излечения пару дней все работае нормально. А потом снова выскакивают окна об ошибках. Посмотрите логи, пожалуйста.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data', '*.exe',false);
DeleteFileMask('c:\RECYCLER', '*.*',true);
 DeleteFile('C:\WINDOWS\system32\04.exe');
 DeleteFile('C:\WINDOWS\system32\07.exe');
 DeleteFile('C:\WINDOWS\system32\10.exe');
 DeleteFile('C:\WINDOWS\system32\30.exe');
 DeleteFile('C:\WINDOWS\system32\37.exe');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\65.scr');
 DeleteFile('C:\WINDOWS\system32\67.scr');
 DeleteFile('C:\WINDOWS\system32\73.exe');
 DeleteFile('C:\WINDOWS\system32\88.exe');
 DeleteFile('C:\WINDOWS\system32\dn.exe');
 DeleteFile('C:\WINDOWS\system32\x');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи.

[atkins]

Новые логи.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 DeleteFile('C:\WINDOWS\system32\35.exe');
 DeleteFile('C:\WINDOWS\system32\47.exe');
 DeleteFile('C:\WINDOWS\system32\50.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=101863).
Сделайте новые логи.

[atkins]

В AVZ "Файл" -> "Просмотр карантина" ничего нет. Как называется тот файл, что я должен поместить в карантин и прислать? virusinfo_cure.zip?
Новые логи прилагаю.

[atkins]

NOD32 вылавливает Win32/Injector.GCW троян

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\38.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[atkins]

При попытке загрузить файл quarantine.zip выскакивает сообщение Ошибка загрузки. Данный файл уже был загружен Но я ничего не загружал.
Новые логи прилагаю.

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.

Заражённые папки:
c:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[4].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[5].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\7[7].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\7[8].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5VJ6VZC6\dci[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\dci[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\m39[2].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\m96[1].exe (Worm.Palevo.Gen) -> No action taken.
c:\documents and settings\администратор\djd.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\newcd1.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\newed1.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\28B.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\администратор\application data\duvcvf.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\01.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\17.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\17.tmp (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\1B.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\84.tmp (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\8E.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\acleaner.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\bnet.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\c[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\syitm.exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\ms3[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\ms4[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\ms4[1]_0.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\m[1].exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\nd44[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\nd44[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\27.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\61.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\t7vd.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\vsbntlo.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\winmap.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\winmap_0.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\xdx.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\zpp[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\z[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\33.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\33_____0.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\36_____0.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\3F.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\41.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\41.tmp (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\42.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\52.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\fdmix.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\ghdrive32.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\hdcd.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\hddd.exe (Worm.PalDot.Gen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new1.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new1[1]0.exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new2[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\new2[2].exe (Worm.Palevo.XGen) -> No action taken.
c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\TWVW5SZP\n[1].exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\04.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\84.exe (Trojan.Agent) -> No action taken.
e:\Игры\железная лягушка.exe (Trojan.Dropper) -> No action taken.
e:\Игры\храм инков.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\umdmgr.log (IRCBot.Trace) -> No action taken.
c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.

[atkins]

Указанные записи удалил. Новый MBAM-лог прилагаю.

[atkins]

Троян Win32/Injector.GCW уже не ломится, но все равно всплывают уведомления об ошибках в обращении к памяти по адресу****. Помогите, пожалуйста, господа хелперы.

Добавлено через 3 часа 28 минут

Новая проверка AVZ требуется?

[polword]

- удалите в MBAM

Код:

Заражённые процессы в памяти:
c:\WINDOWS\ghdrive32.exe (Trojan.Agent) -> 1612 -> Not selected for removal.
c:\documents and settings\администратор\application data\6C.tmp (Trojan.Agent) -> 2940 -> Not selected for removal.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Worm.AutoRun.Gen) -> Value: 12CFG214-K641-12SF-N85P -> Not selected for removal.

Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Not selected for removal.

Заражённые файлы:
c:\WINDOWS\ghdrive32.exe (Trojan.Agent) -> Not selected for removal.
c:\documents and settings\администратор\application data\6C.tmp (Trojan.Agent) -> Not selected for removal.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.AutoRun.Gen) -> Not selected for removal.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Not selected for removal.

Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[atkins]

Восстановление системы отключил еще в самом начале лечения.
Указанные строки в MBAM удалил.
Сделал проверку AVZ и hijackthis. Новые логи прилагаю.
После этого запустил новое сканирование MBAM. Лог прилагаю.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
  DeleteFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Duvcvf');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[atkins]

Новый лог.

[polword]

чисто