Словил неприятный вирус

[ant0ni0]

Вообщем касперский нашел какого-то трояна, после чего компьютер перезапустился. После перезапуска касперский перестал запускаться, в трее появилось сообщение "Your computer is infected! Windows has detected spywareinfection" далее всем известная тема про скачать XP Security center, купить чего-то там чтобы удалить вирусы. Вообщем далее стал действовать по стандартной схеме, но касперский не устанавливается, CureIt, AVZ и HJT аналогично просто не запускаются и ничего не происходит, так что логи сделать никак не могу. Понимаю что нужно переставлять систему, но диска нету под рукой, а работать надо. Есть ли какие нибудь варианты?

PS Восстановление системы отключено

Добавлено через 11 минут

также в памяти висит подозрительный процесс mDNSResponder.exe
путь c:\Program Files\Bonjour\ не знаю что это но я этого явно не ставил // с этим вроде разобрался ищу дальше, жалко касперского удалил не посмотрев последние логи

[Rene-gad]

А переименовать avz.exe в 12333.pif и hijackthis.exe в backdoor.com не пробовали?
Если не поможет - http://rapidshare.com/files/116949749/pingpong.pif.html полиморфный АВЗ, базы обновлть не надо, сделайте логи по правилам.

также в памяти висит подозрительный процесс mDNSResponder.exe
путь c:\Program Files\Bonjour\ не знаю что это но я этого явно не ставил /

см. тему в разделе Чаво

[ant0ni0]

отправляю логи

[Rene-gad]

Если Вам удалось запустить АВЗ - перед дальнейшим лечением обновите базы!!!

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\System32\Drivers\Winmf10.sys
C:\WINDOWS\System32\Drivers\Winwk54.sys
C:\WINDOWS\system32\WinCtrl32.dll

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\buritos.exe');
 DeleteService('Winmf10');
 DeleteService('WmiApSrvMSDTC');
 DeleteService('ThemesRasAuto');
 DeleteService('ImapiServicestisvc');
 DeleteService('HTTPFiltersrservice Licensing Service');
 DeleteService('HTTPFiltersrservice');
 DeleteService('EventSystemwscsvc');
 DeleteService('Winwk54');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\karina.dat','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwk54.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmf10.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
 QuarantineFile('c:\windows\system32\buritos.exe','');
 DeleteFile('c:\windows\system32\buritos.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winmf10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwk54.sys');
 DeleteFile('C:\WINDOWS\system32\karina.dat');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
executerepair(1);
BC_DeleteSvc('Winmf10');
BC_DeleteSvc('WmiApSrvMSDTC');
BC_DeleteSvc('ThemesRasAuto');
BC_DeleteSvc('ImapiServicestisvc');
BC_DeleteSvc('HTTPFiltersrservice Licensing Service');
BC_DeleteSvc('HTTPFiltersrservice');
BC_DeleteSvc('EventSystemwscsvc');
BC_DeleteSvc('Winwk54');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[ant0ni0]

Высылаю повторные логи, антивирус попрежнему не работает, файл не найден, зато есть WinCtrl32.dll и WinCtrl32.dl_

[ant0ni0]

только сейчас заметил что базы AVZ не обновил, сделать новые логи?

Добавлено через 23 минуты

Удалось запустить CureIT находит вирус c:\windows\buritos.exe, полную проверку провести так и не удалось т.к. компьютер перезагружается. Красный значек System Alert после нескольких перезагрузок не появляется, посмотрим что будет дальше...

[Rene-gad]

Обновите все-таки базы, плиз...


IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\System32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.dll

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Beep');
 TerminateProcessByName('c:\windows\system32\buritos.exe');
 QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dl_','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
 QuarantineFile('c:\windows\system32\buritos.exe','');
 DeleteFile('c:\windows\system32\buritos.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
 DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\WinCtrl32.dl_');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('Beep');
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[ant0ni0]

Отправляю новые логи

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

-Удалить с помощью Hijackthis

Код:

O23 - Service: Оповещатель Alerterhelpsvc (Alerterhelpsvc) - Unknown owner - .exe (file missing)
O23 - Service: Служба сетевого DDE NetDDEMessenger (NetDDEMessenger) - Unknown owner - .exe (file missing)
O23 - Service: Телефония TapiSrvTlntSvr (TapiSrvTlntSvr) - Unknown owner - .exe (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
 DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[ant0ni0]

свежие логи,
карантин отправлен:
Файл сохранён как 080816_105148_virus1_48a6f794a15fa.zip
Размер файла 1244815
MD5 5b0539f045646da7bada4ac578029df8

Касперский уже 2 раза успел ругнуться:
удалено: троянская программа Trojan-Mailfinder.Win32.Agent.lz Файл: C:\WINDOWS\system32\ac3acms.dll
удалено: троянская программа Trojan-Downloader.Win32.Agent.aari Файл: C:\WINDOWS\system32\braviax.exe

[Rene-gad]

В логах чисто. Поставьте сервис пак 3 и ИЕ7.

[ant0ni0]

Огромное спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 29
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\ant0ni0\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Mutant.axo (DrWEB: Trojan.DownLoad.2077)
  2. c:\\documents and settings\\ant0ni0\\local settings\\temp\\uninst.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
  3. c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
  4. d:\\vir\\number1 - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
  5. d:\\vir\\number2 - Trojan-Downloader.Win32.Mutant.axh (DrWEB: Trojan.DownLoad.3503)
  6. d:\\vir\\number2_1 - Trojan-Downloader.Win32.Mutant.axq (DrWEB: Trojan.DownLoad.3503)