Conficker.

[AndrewBG]

Привет.
Прочитал новость об эпидемии червя - попытался зайти на сайт майкрософта - не получилось. Из антивирусов стоит Nod32, обновленный, не обнаружил ничего. Фаервола не имею. Понятия не имею также, как отключить автозапуск USB устройств.
Удалил Конфикер с помощью майкрософтовской утилиты (windows-kb890830-v2.6), установил патч на ХР, поменял пароль администратора - вроде бы удалилось.
Но конфикер все равно продолжает лезть. Удалял уже раза три-четыре - без успеха. Сейчас это зашло настолько далеко, что svchost.exe завершается с ошибкой и после этого система отвисает.
Я в отчаянии. Формат делать нельзя - важные файлы. Помогите пожалуйста избавиться от гадости. Не хочу быть в списке зомбей досящих сайт президента.

Ниже прилагаю три лога в соответствии с правилами.

[Aleksandra]

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[AndrewBG]

Лог прикрепил.

[AndrewBG]

Бамп. Опять лезет.
CureIt определяет зверя как Win32.HLLW.Shadow.based.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dnzin.dll ',' ');    
DeleteFile('C:\WINDOWS\system32\dnzin.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Aleksandra]

На этом лечение не закончится!

После выполнения скрипта, сделайте еще раз лог Gmer.

[AndrewBG]

Скрипт не удалил ничего. Чтобы зайти на сайт и взять его мне пришлось удалить именно тот самый dll, потому что вирус блокирует любые адреса содержащие virusinfo, microsoft и так далее. А если я его удалю еще раз, чтобы зайти и скопипастить новый скрипт на удаление новой твари - тварь при следующем ребуте делает dll уже с другим именем. Замкнутый круг.

Видимо придется делать формат.
Теперь такой вопрос: конфикер может заразить файлы с расширением *.ai, *.fla, *.as, *.eps, если их аплоадить с освобожденного на некоторое время компьютера на сервер через фтп? Хотя бы часть файлов сохраню, если да.

[Aleksandra]

Видимо придется делать формат.

Не надо делать формат! Мы что тут зря стараемся!?

Добавлено через 17 минут

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteService('jmqnyud');
 DeleteService('wnzbubia');
 DeleteService('xhnkdnvn');
 DeleteService('ycpizatbr');
 DeleteService('zeakfyv');
 QuarantineFile('C:\WINDOWS\system32\dnzin.dll',' ');    
 DeleteFile('C:\WINDOWS\system32\dnzin.dll');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\jmqnyud','Description');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wnzbubia','Description');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\xhnkdnvn','Description');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\ycpizatbr','Description');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zeakfyv','Description');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\jmqnyud');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wnzbubia');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xhnkdnvn');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\ycpizatbr');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zeakfyv');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('jmqnyud');
 BC_DeleteSvc('wnzbubia');
 BC_DeleteSvc('xhnkdnvn');
 BC_DeleteSvc('ycpizatbr');
 BC_DeleteSvc('zeakfyv');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=37890

3. Повторите лог Gmer.

[AndrewBG]

Карантин прислал, лог gmer сделать не могу - после перезапуска системы через некоторое время завершается ошибкой процесс svchost.exe, после чего система зависает намертво. Помогает только резет.

[Aleksandra]

А в безопасном режиме грузится?

[AndrewBG]

Да. Вот лог.

[Aleksandra]

1. Выполните скрипт в AVZ:

Код:

begin
 DeleteService('trcqw');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\trcqw','Description');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\trcqw');
 BC_DeleteSvc('trcqw');
 BC_Activate;
 RebootWindows(true);
end.

2. Повторите лог Gmer.

[AndrewBG]

Вот.

[Aleksandra]

Что с проблемой?

[AndrewBG]

Вирус пока не подает признаков жизни, сайт майкрософта открывается. Но gmer ругается.

[Aleksandra]

Загрузка проходит нормально?

Добавлено через 5 минут

Но gmer ругается.

Знаю, а вообще опасности от такого ключа нету.

Добавлено через 2 минуты

Давайте мы удалим эти ключи с помощью самого же Gmer в закладке реестр (в ручную).

Добавлено через 2 минуты

HKLM\SYSTEM\CurrentControlSet\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet002\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet001\Services все ключи с trcqw

[AndrewBG]

Загрузка проходит нормально?

Загрузка системы? Пока что ошибок от svchost не было, тьфу-тьфу-тьфу, чтоб не сглазить.

Давайте мы удалим эти ключи с помощью самого же Gmer в закладке реестр (в ручную).
В HKLM\SYSTEM\CurrentControlSet\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet002\Services все ключи с trcqw
HKLM\SYSTEM\ControlSet001\Services все ключи с trcqw

Если не сложно, как это можно сделать? Ключи нашел, а вот удалить - не знаю как.

[Aleksandra]

Все понятно?

[AndrewBG]

Вирус опять активен.

[Aleksandra]

С чего Вы взяли?