Explorer.exe просто ничего не помогает... [Trojan.Win32.Jorik.Nrgbot.ti, , Trojan.Win32.Jorik.IRCbot.oxp ]

[OrangeIv]

Здравствуйте! прошу помощи в решении проблемы...
Около недели назад появился вирус с названием yadrive32.exe и wrdrive32.exe
при этом при загрузке компьютера вылетала ошибка explorer.exe после нажатия на "не отправлять" оболочка пропадала и возвращалась,но спустя 5-10 минут во всех браузерах переставало заходить на ЛЮБЫЕ сайты,буть то локальные или в открытом интернете(но почему то работал скайп)
Пытался 5 раз переустановить винду,форматировал оба диска,предварительно скопировав нужную информацию на флешку...после установки винды,установил всего 4-5 программ с флешки,и спустя 30-60 минут компьютер начинает сильно тормозить,в диспетчере задач процесс explorer.exe жрет 99% цп,появляется примерно 20-30 процессов с названием IEXPLORER.EXE и процессы с именами 1.exe 10.exe 31.exe и тд. wrdrive32.exe и yadrive32.exe
Просто уже не знаю что делать,помогите пожалуйста hijackthis.logvirusinfo_syscure.zipvirusinfo_syscheck.zip надеюсь логи прикрепил правильно,не особо шарю в этом

[Info_bot]

Уважаемый(ая) OrangeIv, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\58.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\RECYCLER\logon.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Kekskc.scr','');
 TerminateProcessByName('c:\windows\wrdrive32.exe');
 QuarantineFile('c:\windows\wrdrive32.exe','');
 DeleteFile('c:\windows\wrdrive32.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Kekskc.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kekskc');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\RECYCLER\logon.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Remote Shell Manager');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tbrena');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\58.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[OrangeIv]

Карантин вроде отправил
IE8 поставил
обновления поставил
virusinfo_syscheck.zipvirusinfo_syscure.ziphijackthis.logmbam-log-2012-08-02 (15-13-34).txt
вроде все так сделал

[Дeнис]

OrangeIv, OrangeIv,
Здравствуйте!

1. Отключите временно Антивирус/Фаервол.

2. Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\yadrive32.exe');
 TerminateProcessByName('c:\documents and settings\Администратор\application data\3.exe');
 QuarantineFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avmngs.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini','');
 QuarantineFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\new.bin','');
 QuarantineFile('C:\Documents and Settings\Администратор\fuwin3.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\ayokh.exe','');
 QuarantineFile('C:\WINDOWS\system32\78.exe','');
 QuarantineFile('C:\WINDOWS\system32\63.exe','');
 QuarantineFile('C:\WINDOWS\system32\48.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Aeksks.scr','');
 QuarantineFile('c:\windows\yadrive32.exe','');
 QuarantineFile('c:\documents and settings\Администратор\application data\3.exe','');
 QuarantineFileF('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.exe', true, '', 0, 0);
 DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\avmngs.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini');
 DeleteFile('C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\new.bin');
 DeleteFile('C:\Documents and Settings\Администратор\fuwin3.exe');
 DeleteFile('C:\Documents and Settings\Администратор\ayokh.exe');
 DeleteFile('c:\documents and settings\Администратор\application data\3.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Aeksks.scr');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 DeleteFile('C:\WINDOWS\yadrive32.exe');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\WINDOWS\system32\63.exe');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.exe', true);
 DeleteFileMask('C:\Documents and Settings\Администратор\Application Data', '*.gonewiththewings', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После перезагрузки!


3. Выполните скрипт в AVZ

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
end.

Файл quarantine_2.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


Сделайте лог AVZ + лог RSIT

[OrangeIv]

virusinfo_syscheck2.zipvirusinfo_syscure2.ziplog.txtinfo.txt

[Дeнис]

OrangeIv,

В логах порядок

[OrangeIv]

Да, спасибо, вирусов и этих процессов вроде больше нет,но система все равно притормаживает,при том условии что ей всего 2 дня
Но с этим уже видимо ничего не поделаеш

[Дeнис]

OrangeIv, http://virusinfo.info/entry.php?b=70

[OrangeIv]

спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 68
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администратор\\application data\\aeksks.scr - Trojan.Win32.Jorik.Nrgbot.sj ( DrWEB: Trojan.DownLoad3.8247, BitDefender: Trojan.Generic.KDV.684744 )
  2. c:\\documents and settings\\администратор\\application data\\kekskc.scr - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
  3. c:\\documents and settings\\администратор\\application data\\new.bin - Trojan.Win32.Buzus.lwby ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
  4. c:\\documents and settings\\администратор\\application data\\recycler\\logon.exe - Trojan.Win32.Jorik.IRCbot.oxp ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KDV.685421, AVAST4: Win32:Kryptik-GZC [Trj] )
  5. c:\\documents and settings\\администратор\\application data\\3.exe - P2P-Worm.Win32.Palevo.fclv ( DrWEB: Trojan.Siggen.65039, BitDefender: Gen:Variant.Graftor.38661, AVAST4: Win32:Downloader-PCM [Trj] )
  6. c:\\documents and settings\\администратор\\ayokh.exe - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
  7. c:\\documents and settings\\администратор\\fuwin3.exe - Trojan.Win32.Jorik.Nrgbot.sj ( DrWEB: Trojan.DownLoad3.8247, BitDefender: Trojan.Generic.KDV.684744 )
  8. c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\i8ioqbxc\\hj3[1].exe - Trojan.Win32.Jorik.Nrgbot.sj ( DrWEB: Trojan.DownLoad3.8247, BitDefender: Trojan.Generic.KDV.684744 )
  9. c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\owqx5a97\\ngusp[1].exe - Trojan.Win32.Bublik.ean ( DrWEB: Trojan.Packed.22950, BitDefender: Gen:Variant.Symmi.162, AVAST4: Win32:Downloader-PCM [Trj] )
  10. c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\owqx5a97\\1888[1].exe - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
  11. c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\owqx5a97\\1888[2].exe - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
  12. c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\owqx5a97\\2888[1].exe - Trojan.Win32.Buzus.lwby ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
  13. c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\r71pyllq\\2888[1].exe - Trojan.Win32.Buzus.lwby ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
  14. c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\xedvf6q6\\1888[1].exe - Trojan.Win32.Jorik.Nrgbot.ti ( DrWEB: BackDoor.IRC.NgrBot.11, BitDefender: Gen:Variant.Zusy.15445 )
  15. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\avmngs.exe - Backdoor.Win32.Azbreg.ccv ( DrWEB: BackDoor.Hermes.442, BitDefender: Trojan.Generic.KDV.684050 )
  16. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-14699\\brenasa.exe - Backdoor.Win32.Azbreg.bwy ( DrWEB: Trojan.Siggen.65039, BitDefender: Trojan.Generic.KDV.681807 )
  17. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan-Downloader.Win32.Pakes.oo ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.82169 )
  18. c:\\windows\\system32\\48.exe - Backdoor.Win32.Azbreg.ccv ( DrWEB: BackDoor.Hermes.442, BitDefender: Trojan.Generic.KDV.684050 )
  19. c:\\windows\\system32\\58.exe - Trojan.Win32.Jorik.IRCbot.oxp ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KDV.685421, AVAST4: Win32:Kryptik-GZC [Trj] )
  20. c:\\windows\\system32\\63.exe - Backdoor.Win32.Azbreg.ccv ( DrWEB: BackDoor.Hermes.442, BitDefender: Trojan.Generic.KDV.684050 )
  21. c:\\windows\\system32\\78.exe - Backdoor.Win32.Azbreg.ccv ( DrWEB: BackDoor.Hermes.442, BitDefender: Trojan.Generic.KDV.684050 )
  22. c:\\windows\\wrdrive32.exe - Trojan-Downloader.Win32.Pakes.oo ( BitDefender: Gen:Variant.Kazy.82169 )
  23. c:\\windows\\yadrive32.exe - Net-Worm.Win32.Kolab.bitz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Kazy.82169 )