подозрение на маскровку ключа реестра или драйвера

[center]

собственно по теме - после проверки утилитой avz вот такое сообщение, их два имена: kozxhuy и pblhr, компьютер иногда "подвисает" и при выключении или ребуте сообщение об ошибке по авдресу 0x0000xxx в модуле svchost. логи после выполнения скриптов прилагаю

[Info_bot]

Уважаемый(ая) center, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
   
   
   • Sections
   • IAT/EAT
   • Show all
6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
9. Подробную инструкцию читайте в руководстве

[center]

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
   
   • Sections
   • IAT/EAT
   • Show all
   
   
6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
9. Подробную инструкцию читайте в руководстве

лог после сканирования gmer

[mike 1]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service kozxhuy
gmer.exe -del service pblhr
gmer.exe -del file "C:\WINDOWS\system32\mgrbw.dll"
gmer.exe -del file "C:\Program Files\Internet Explorer\mgrbw.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pblhr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kozxhuy"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

[center]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service kozxhuy
gmer.exe -del service pblhr
gmer.exe -del file "C:\WINDOWS\system32\mgrbw.dll"
gmer.exe -del file "C:\Program Files\Internet Explorer\mgrbw.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pblhr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kozxhuy"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

Здравствуйте!

скрипт запустил, он поудалял руткиты, готовлю новый лог gmer.
теперь после выполнения скрипта, процессор грузит процесс вот с таким именем: BrCcUxSys.exe

[mike 1]

Жду лог

[center]

Жду лог

лог gmer после повторного сканирования

[mike 1]

Сделайте логи RSIT.

[center]

Сделайте логи RSIT.

логи rsit, при включении ругается на VIVO.dll - точка входа в процедуру не найдена, потом грузиться минут 7, в процессах появляется UP2DATE.exe и исчезает потом (хотелось бы знать что это обновляется) и только потом все ок.

[mike 1]

• Скачайте Farbar Recovery Scan Tool
  
  Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  S3 afweiqk;afweiqk; \??\C:\WINDOWS\system32\01.tmp []
  S3 aplwewhm;aplwewhm; \??\C:\WINDOWS\system32\01.tmp []
  S3 autqfw;autqfw; \??\C:\WINDOWS\system32\01.tmp []
  S3 aymzox;aymzox; \??\C:\WINDOWS\system32\01.tmp []
  S3 aytnhe;aytnhe; \??\C:\WINDOWS\system32\01.tmp []
  S3 bnjhlfljz;bnjhlfljz; \??\C:\WINDOWS\system32\01.tmp []
  S3 bptkvv;bptkvv; \??\C:\WINDOWS\system32\01.tmp []
  S3 buqrewfzm;buqrewfzm; \??\C:\WINDOWS\system32\01.tmp []
  S3 byutkvwns;byutkvwns; \??\C:\WINDOWS\system32\01.tmp []
  S3 cmutyjpl;cmutyjpl; \??\C:\WINDOWS\system32\01.tmp []
  S3 cpqbra;cpqbra; \??\C:\WINDOWS\system32\01.tmp []
  S3 cqvveww;cqvveww; \??\C:\WINDOWS\system32\01.tmp []
  S3 czsynfv;czsynfv; \??\C:\WINDOWS\system32\01.tmp []
  S3 dgkijehx;dgkijehx; \??\C:\WINDOWS\system32\01.tmp []
  S3 dkohwaieq;dkohwaieq; \??\C:\WINDOWS\system32\01.tmp []
  S3 dpffhw;dpffhw; \??\C:\WINDOWS\system32\01.tmp []
  S3 dpufuqk;dpufuqk; \??\C:\WINDOWS\system32\01.tmp []
  S3 dyqatw;dyqatw; \??\C:\WINDOWS\system32\01.tmp []
  S3 ebtwub;ebtwub; \??\C:\WINDOWS\system32\01.tmp []
  S3 ehafme;ehafme; \??\C:\WINDOWS\system32\01.tmp []
  S3 ejdzoei;ejdzoei; \??\C:\WINDOWS\system32\01.tmp []
  S3 eqmafwjc;eqmafwjc; \??\C:\WINDOWS\system32\01.tmp []
  S3 eskys;eskys; \??\C:\WINDOWS\system32\01.tmp []
  S3 exush;exush; \??\C:\WINDOWS\system32\01.tmp []
  S3 fgunybmw;fgunybmw; \??\C:\WINDOWS\system32\01.tmp []
  S3 frlpwmt;frlpwmt; \??\C:\WINDOWS\system32\01.tmp []
  S3 fxedorpbg;fxedorpbg; \??\C:\WINDOWS\system32\01.tmp []
  S3 fzagenycv;fzagenycv; \??\C:\WINDOWS\system32\01.tmp []
  S3 gewqywdkv;gewqywdkv; \??\C:\WINDOWS\system32\01.tmp []
  S3 gpdmc;gpdmc; \??\C:\WINDOWS\system32\01.tmp []
  S3 gtrzeh;gtrzeh; \??\C:\WINDOWS\system32\01.tmp []
  S3 gzxiczvl;gzxiczvl; \??\C:\WINDOWS\system32\01.tmp []
  S3 haljtroi;haljtroi; \??\C:\WINDOWS\system32\01.tmp []
  S3 hcysve;hcysve; \??\C:\WINDOWS\system32\01.tmp []
  S3 hsktk;hsktk; \??\C:\WINDOWS\system32\01.tmp []
  S3 hyjpnvzaf;hyjpnvzaf; \??\C:\WINDOWS\system32\01.tmp []
  S3 iejdrsa;iejdrsa; \??\C:\WINDOWS\system32\01.tmp []
  S3 iftpapsz;iftpapsz; \??\C:\WINDOWS\system32\01.tmp []
  S3 ijabyalr;ijabyalr; \??\C:\WINDOWS\system32\01.tmp []
  S3 ikufe;ikufe; \??\C:\WINDOWS\system32\01.tmp []
  S3 ivmolcwzv;ivmolcwzv; \??\C:\WINDOWS\system32\01.tmp []
  S3 ixmetzvsy;ixmetzvsy; \??\C:\WINDOWS\system32\01.tmp []
  S3 izzrlke;izzrlke; \??\C:\WINDOWS\system32\01.tmp []
  S3 jdpybzt;jdpybzt; \??\C:\WINDOWS\system32\01.tmp []
  S3 jfnghgizd;jfnghgizd; \??\C:\WINDOWS\system32\01.tmp []
  S3 jksjrvkg;jksjrvkg; \??\C:\WINDOWS\system32\01.tmp []
  S3 jnwpnpih;jnwpnpih; \??\C:\WINDOWS\system32\01.tmp []
  S3 jprfik;jprfik; \??\C:\WINDOWS\system32\01.tmp []
  S3 jqttqt;jqttqt; \??\C:\WINDOWS\system32\01.tmp []
  S3 jtojeq;jtojeq; \??\C:\WINDOWS\system32\01.tmp []
  S3 kitkxdvq;kitkxdvq; \??\C:\WINDOWS\system32\01.tmp []
  S3 kqaci;kqaci; \??\C:\WINDOWS\system32\01.tmp []
  S3 ksobsyobx;ksobsyobx; \??\C:\WINDOWS\system32\01.tmp []
  S3 kytqarc;kytqarc; \??\C:\WINDOWS\system32\01.tmp []
  S3 letng;letng; \??\C:\WINDOWS\system32\01.tmp []
  S3 mftkqcn;mftkqcn; \??\C:\WINDOWS\system32\01.tmp []
  S3 mncdayyu;mncdayyu; \??\C:\WINDOWS\system32\01.tmp []
  S3 mpakaz;mpakaz; \??\C:\WINDOWS\system32\01.tmp []
  S3 nflhivhjz;nflhivhjz; \??\C:\WINDOWS\system32\04.tmp []
  S3 nhaamb;nhaamb; \??\C:\WINDOWS\system32\01.tmp []
  S3 nlpurkl;nlpurkl; \??\C:\WINDOWS\system32\01.tmp []
  S3 nvekv;nvekv; \??\C:\WINDOWS\system32\01.tmp []
  S3 nvgifyko;nvgifyko; \??\C:\WINDOWS\system32\01.tmp []
  S3 nvvhtabl;nvvhtabl; \??\C:\WINDOWS\system32\01.tmp []
  S3 nwvygcx;nwvygcx; \??\C:\WINDOWS\system32\01.tmp []
  S3 oaxidkbgz;oaxidkbgz; \??\C:\WINDOWS\system32\01.tmp []
  S3 oemzrkv;oemzrkv; \??\C:\WINDOWS\system32\01.tmp []
  S3 opgwojd;opgwojd; \??\C:\WINDOWS\system32\01.tmp []
  S3 opzko;opzko; \??\C:\WINDOWS\system32\01.tmp []
  S3 osqwnwvn;osqwnwvn; \??\C:\WINDOWS\system32\01.tmp []
  S3 ossdef;ossdef; \??\C:\WINDOWS\system32\01.tmp []
  S3 pbmpdci;pbmpdci; \??\C:\WINDOWS\system32\01.tmp []
  S3 pdegczidq;pdegczidq; \??\C:\WINDOWS\system32\01.tmp []
  S3 pggbc;pggbc; \??\C:\WINDOWS\system32\01.tmp []
  S3 pugxchj;pugxchj; \??\C:\WINDOWS\system32\01.tmp []
  S3 qaxlcfen;qaxlcfen; \??\C:\WINDOWS\system32\01.tmp []
  S3 qguvu;qguvu; \??\C:\WINDOWS\system32\01.tmp []
  S3 qhfbyms;qhfbyms; \??\C:\WINDOWS\system32\01.tmp []
  S3 qlqrzdi;qlqrzdi; \??\C:\WINDOWS\system32\01.tmp []
  S3 qnmzz;qnmzz; \??\C:\WINDOWS\system32\01.tmp []
  S3 qxxkchk;qxxkchk; \??\C:\WINDOWS\system32\01.tmp []
  S3 rabnsfaa;rabnsfaa; \??\C:\WINDOWS\system32\01.tmp []
  S3 rjicm;rjicm; \??\C:\WINDOWS\system32\01.tmp []
  S3 rjlruy;rjlruy; \??\C:\WINDOWS\system32\01.tmp []
  S3 rklemoxd;rklemoxd; \??\C:\WINDOWS\system32\01.tmp []
  S3 rtezdxn;rtezdxn; \??\C:\WINDOWS\system32\01.tmp []
  S3 ryzpanx;ryzpanx; \??\C:\WINDOWS\system32\01.tmp []
  S3 sfojldf;sfojldf; \??\C:\WINDOWS\system32\01.tmp []
  S3 sksytnuoc;sksytnuoc; \??\C:\WINDOWS\system32\01.tmp []
  S3 svsvipep;svsvipep; \??\C:\WINDOWS\system32\01.tmp []
  S3 szpebpua;szpebpua; \??\C:\WINDOWS\system32\01.tmp []
  S3 tbqzbf;tbqzbf; \??\C:\WINDOWS\system32\01.tmp []
  S3 tbyrjw;tbyrjw; \??\C:\WINDOWS\system32\01.tmp []
  S3 tmnewgpd;tmnewgpd; \??\C:\WINDOWS\system32\01.tmp []
  S3 tqorsrdak;tqorsrdak; \??\C:\WINDOWS\system32\01.tmp []
  S3 txeffv;txeffv; \??\C:\WINDOWS\system32\01.tmp []
  S3 ucsdos;ucsdos; \??\C:\WINDOWS\system32\01.tmp []
  S3 usiaxhn;usiaxhn; \??\C:\WINDOWS\system32\01.tmp []
  S3 uulbtkbh;uulbtkbh; \??\C:\WINDOWS\system32\01.tmp []
  S3 vndzmaasl;vndzmaasl; \??\C:\WINDOWS\system32\01.tmp []
  S3 waqmvb;waqmvb; \??\C:\WINDOWS\system32\01.tmp []
  S3 wfwqqdglx;wfwqqdglx; \??\C:\WINDOWS\system32\01.tmp []
  S3 whgubhvu;whgubhvu; \??\C:\WINDOWS\system32\01.tmp []
  S3 wkcdfjqum;wkcdfjqum; \??\C:\WINDOWS\system32\01.tmp []
  S3 wsirhph;wsirhph; \??\C:\WINDOWS\system32\01.tmp []
  S3 xeauqp;xeauqp; \??\C:\WINDOWS\system32\01.tmp []
  S3 xpupl;xpupl; \??\C:\WINDOWS\system32\01.tmp []
  S3 xtdhqfqy;xtdhqfqy; \??\C:\WINDOWS\system32\01.tmp []
  S3 xuzwndw;xuzwndw; \??\C:\WINDOWS\system32\01.tmp []
  S3 ymmekpdo;ymmekpdo; \??\C:\WINDOWS\system32\01.tmp []
  S3 ysxwchqas;ysxwchqas; \??\C:\WINDOWS\system32\01.tmp []
  S3 zbcdkbh;zbcdkbh; \??\C:\WINDOWS\system32\01.tmp []
  S3 zqisnzsar;zqisnzsar; \??\C:\WINDOWS\system32\01.tmp []
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[center]

после выполнения фикса
при выключении или перезагрузке все еще есть ошибка с svchost.exe

[mike 1]

Еще раз логи RSIT сделайте

[center]

Еще раз логи RSIT сделайте

повторяю логи RSIT

[mike 1]

Воспользуйтесь этой утилитой.

[center]

Воспользуйтесь этой утилитой.

Вы считаете, что на этой машине червь KIDO? Но я уже проверял KIS - он ничего не находит, kidokiller в безопасном режиме - тоже говорит ничего нет, хорошо проверю повторно
прилагаю лог сканирования kilkido, проверил утилитой и антивирусом - не находит ничего, ОС тормозит, периодически пропадает доступ в интернет, помогает только перезагрузка

[mike 1]

Вы считаете, что на этой машине червь KIDO?

А он был на компьютере.

Скачайте ComboFix здесь и сохраните в корень диска С.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

[center]

Работа комбофикса не заканчивается созданием лога, может быть нужно запускать в безопасном режиме его? Однако компьютер работает теперь быстрее, но интернет пропадает все равно хоть и реже. Иногда при авторизации пользователя не меняется раскладка клавиатуры, лечится перезагрузкой

[mike 1]

Попробуйте собрать лог в безопасном режиме.

[center]

Попробуйте собрать лог в безопасном режиме.

НАКОНЕЦ ТО удалось их собрать, комбофикс теперь отработал корректно, после удаления антивируса касперского