Трояны. startdrv.exe и другие

[Valentine]

Здравствуйте.
У меня выделенка (инет включен постоянно).
Установлен антивирь Avast Home Edition и файрвол ZoneAlarm Free.
Недавно начали доставать трояны.
Какой-то вирь заблокировал работу файрвола.
Методом проб и экспериментов вычислил, что каждый раз у меня запускается startdrv.exe (в windows\temp) и идет какой-то левый трафик. Сначала он не поддавался удалению, но потом я все же его удалил, удалил также записи о нем в реестре.
Подозрения также лежат на процессах:
1. Services.exe (пытается выйти в инет под видом "Приложения служб и контроллеров").
2. Winlogon.exe (почему-то лежит в Docs&Settings\Local Settings\Temp) и после каждой перезагрузки снова там появляется.
3.Ashmaisv.exe. Вообще-то это почтовый сканер Avast'a, но он теперь пытается выходить в интернет даже когда не запущена почтовая программа. И качает что-то оттуда.
Сейчас я пока пресекаю все попытки с помощью ZoneAlarm (он заработал). Но лечить-то комп как-то надо!
Помогите, плиз. Заранее благодарю.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\docume~1\43fd~1\locals~1\temp\winlogon.exe','');
 DeleteFile('c:\docume~1\43fd~1\locals~1\temp\winlogon.exe');  
 BC_ImportALL;  
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

"Пофиксите" в HijackThis

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/
O2 - BHO: (no name) - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\43FD~1\LOCALS~1\Temp\winlogon.exe
O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)

Загрузите карантин по этой ссылке. Повторите логи.

[Valentine]

Спасибки.
Все сделал по написанному.
Карантин загрузил.
Вот новые логи.

[Muzzle]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\poof','');
 QuarantineFile('C:\WINDOWS\system32\kprof','');
 QuarantineFile('system32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 DeleteFile('C:\WINDOWS\system32\poof');
 DeleteFile('C:\WINDOWS\system32\kprof');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин который получиться после выполнения скрипта и тот который сформировался после выполнения последних логов согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11460

[Valentine]

Сделал.

[Muzzle]

c:\docume~1\43fd~1\locals~1\temp\winlogon.exe - Trojan.Win32.Agent.asu
C:\WINDOWS\system32\drivers\ip6fw.sys - Rootkit.Win32.Agent.dp
C:\WINDOWS\system32\poof - Trojan-Proxy.Win32.Wopla.ag
C:\WINDOWS\system32\kprof - Trojan-Proxy.Win32.Wopla.ag

(по Касперскому) их мы удалили

C:\WINDOWS\system32\DRIVERS\tcpip.sys - Trojan.Win32.Patched.ad

А вот этот файл нужно заменить на чистый,у вас есть диск с windows?
если нет,то можете заменить на чистый tcpip.sys он прикреплен к этому сообщению.
Замену произведите в безопасном режиме,после этого загрузитесь в обычном режиме и сделайте новые логи.

[Valentine]

Заменил файл tcpip.sys. Последствия:

1. Перестала работать сеть и, соответственно, интернет. Т.е. нет входящих пакетов, только исходящие. Роутер не пингуется. Интернет через дайл-ап тоже не работает теперь. Менял на аналогичный файл с моего диска Windows - не помогает. Видимо, протокол tcp/ip вообще не работает.

2. Avast стал выдавать сообщение типа "Avast не может защитить почту". Т.е. почтовый сканер (на который у меня были подозрения) перестал работать.

Помогите восстановить инет!

Свежие логи приложены.

[Muzzle]

У вас завёлся пакосник y2.dll который и портит всё
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\y2.dll','');
 DeleteFile('C:\WINDOWS\system32\y2.dll');
AutoFixSPI;
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11460

Если после скрипта снова не будет работать интернет, то скачайте WinSockFix. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.
И повторите логи

[Valentine]

Спасибо, вечером попробую. Сцылко на ВинСокФикс не работает.

[Muzzle]

теперь работает,качайте.

[Valentine]

Лечение последним скриптом закончилось падением системы.
Винда загружалась около 10 минут, пропала панель задач, исчез статус процессов в диспетчере задач, отказал буфер обмена и т.п.
Переустановка Windows зависала. В результате системный винт был отформатирован. Предстоит долгая и мучительная работа по установке ОС и программ.

Спасибо за попытки помочь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\docume~1\\43fd~1\\locals~1\\temp\\winlogon.exe - Trojan.Win32.Agent.asu (DrWEB: Trojan.Packed.147)
  2. c:\\windows\\system32\\drivers\\ip6fw.sys - Rootkit.Win32.Agent.dp (DrWEB: Trojan.NtRootKit.319)
  3. c:\\windows\\system32\\drivers\\tcpip.sys - Trojan.Win32.Patched.ad (DrWEB: BackDoor.Groan)
  4. c:\\windows\\system32\\kprof - Trojan-Proxy.Win32.Wopla.ag (DrWEB: Trojan.NtRootKit.219)
  5. c:\\windows\\system32\\poof - Trojan-Proxy.Win32.Wopla.ag (DrWEB: Trojan.NtRootKit.21