проблема с трафиком и входом в Win

[scandy]

Добрый день.Появилась проблема с уходящим трафиком,практически равен входящему.
В приложениях часто можно заметить некие delextra.exe,spools.exe,kavir.exe.
При вводе пароля при входе в Win появляется "загрузка личных параметров".Затем выдает ошибку "explorer.exe".
Спасает только мена пользователя.В последний раз при выходе с интернета вылетело в синий экран.

[wise-wistful]

Скачайте IceSword.

Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\Drivers\Jry42.sys, C:\WINDOWS\system32\Drivers\Yby33.sys, C:\WINDOWS\system32\WLCtrl32.dll.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\tmp_kfn.dll','');
 QuarantineFile('C:\WINDOWS\svchost.com','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
 QuarantineFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\7F43.exe','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 QuarantineFile('c:\windows\system32\drivers\spools.exe','');
 TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
 QuarantineFile('c:\windows\system32\msmouse.exe','');
 QuarantineFile('c:\windows\msauc.exe','');
 TerminateProcessByName('c:\windows\msauc.exe');
 QuarantineFile('c:\windows\system32\lcss.exe','');
 TerminateProcessByName('c:\windows\system32\lcss.exe');
 QuarantineFile('c:\windows\kavir.exe','');
 TerminateProcessByName('c:\windows\kavir.exe');
 DeleteFile('c:\windows\kavir.exe');
 DeleteFile('c:\windows\system32\lcss.exe');
 DeleteFile('c:\windows\msauc.exe');
 DeleteFile('c:\windows\system32\drivers\spools.exe');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Jry42.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Yby33.sys');
 DeleteFile('C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\7F43.exe');
 DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
 DeleteFile('C:\Documents and Settings\Владелец\cftmon.exe');
 DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('WLCtrl32.dll');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe');
 DeleteFile('C:\WINDOWS\svchost.com');
 DeleteFile('C:\WINDOWS\system32\tmp_kfn.dll');
BC_ImportAll;
BC_DeleteSvc('Jry42');
BC_DeleteSvc('Yby33');
BC_DeleteSvc('Schedule');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22308

В хост файл вы вносили записи?

Повторите логи.

[scandy]

Все сделал...но
теперь все проги запускать можно только от другого имени...
и архив не создается,т.к. "отказано в доступе".
И что делать?

[scandy]

нет,ничего не прописывал.
Логи вроде сделать удалось,и карантин отправить тоже.Но программы по прежнему запускаются криво.
Глюк при загрузке пропал,надеюсь с этим ок.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrSvc('SamSsALG ');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\1037d.exe','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}  ');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe');
BC_ImportALL;
ExecuteSysClean;    
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22308

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

[scandy]

Пока большое спасибо.Все вроде ок.
Оставшиеся "мелочи":
при загрузке много незакрытых окон про инициализацию драйвера.
в корневом каталоге лежит delextra.exe,удалятся не хочет...
Карантин выслал.

[Гриша]

1037d.exe-Backdoor.Win32.IRCBot.csn

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('SamSsALG');
DeleteFile('C:\WINDOWS\system32\1037d.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('SamSsALG ');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи.

[scandy]

логи:

[Гриша]

Пришел ответ аналитиков MSmouse.exe-Trojan-Proxy.Win32.Agent.aii

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MS Windows Mouse');
DeleteFile('C:\WINDOWS\system32\MSmouse.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('MS Windows Mouse ');
BC_Activate;
RebootWindows(true);
end.

Повторите лог virusinfo_syscheck.

[scandy]

вот:

[Гриша]

Вот эти 2 файлика delextra.exe,MSmouse.sys пришлите согласно приложению 2 правил.

[scandy]

Про delextra-пишет добавлен,но на деле его нет в карантине.
Файл по прежнему висит прямо на диске C.(38кб)
Второй файл выслал.

[V_Bond]

выполните скрипт ...

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 BC_QrSvc('TosIde');
 QuarantineFile('C:\WINDOWS\system32\MSmouse.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[scandy]

отправил

[wise-wistful]

MSmouse.sys - Trojan-Proxy.Win32.Agent.aii, по поводу userinit.exe - нужен ответ аналитиков
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
BC_ImportDeletedList;
BC_DeleteSvc('TosIde');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделайте лог virusinfo_syscheck

[Гриша]

userinit.exe_

Вредоносный код в файле не обнаружен.

[scandy]

высылаю еще раз файл.
Пока есть вопрос только с кучей окон о инициализации драйверов,которые выскакивыют при загрузке.Как их победить?

[V_Bond]

удалите все антивирусы ... затем установите один ....
сделайте логи начиная с пункта 10 правил ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 88
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\localservice\\cftmon.exe - Worm.Win32.Socks.ex (DrWEB: Win32.HLLW.Socks.4)
  2. c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1013\\sys32.exe - Worm.Win32.AutoRun.dor (DrWEB: Trojan.Inject.3295)
  3. c:\\windows\\kavir.exe - Trojan-Downloader.Win32.Cntr.q (DrWEB: Trojan.Packed.431)
  4. c:\\windows\\msauc.exe - Trojan.Win32.Agent.iii (DrWEB: Trojan.PWS.ICQSniff.25)
  5. c:\\windows\\svchost.com - Virus.Win32.Neshta.a (DrWEB: Win32.HLLP.Neshta)
  6. c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.ex (DrWEB: Win32.HLLW.Socks.4)
  7. c:\\windows\\system32\\lcss.exe - Backdoor.Win32.DsBot.ox (DrWEB: Win32.HLLW.MyBot.1)
  8. c:\\windows\\system32\\msmouse.exe - Trojan-Proxy.Win32.Agent.aii (DrWEB: Trojan.Proxy.3207)
  9. c:\\windows\\system32\\msmouse.sys - Trojan-Proxy.Win32.Agent.aii (DrWEB: Trojan.NtRootKit.1065)
  10. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bhz (DrWEB: Trojan.Packed.511)
  11. c:\\windows\\system32\\tmp_kfn.dll - Trojan-Downloader.Win32.Small.vwd (DrWEB: Trojan.DownLoader.14310)
  12. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Small.uvt (DrWEB: Trojan.DownLoader.57335)
  13. c:\\windows\\system32\\1037d.exe - Backdoor.Win32.IRCBot.csn (DrWEB: BackDoor.IRC.Nite)
  14. c:\\windows\\temp\\winlogon.exe - SpamTool.Win32.Agent.is (DrWEB: Trojan.Spambot.2496)