J002.exe и еще ~ 382 вируса :(

[executive]

Доброго времени суток!
На днях столкнулся с проблемой решить которую самостоятельно не могу Поэтому обращаюсь к Вам .
Проблема заключается в следующем:
постоянно запрашивается соединение
super.zavan.info
и от файла J002.exe
происходит это на столько часто что комп виснет ...
Началось это не пойму как, компьютер был включен, файлы никакие не запускал и в какой-то момент вдруг началось соединение с указанным сайтом и от файла. Детей дома не было, сам получается что-то сделал, а что понять не могу
Как указано в правилах сделал, надеюсь на вашу помощь в решении проблемы ((

[Rene-gad]

На днях столкнулся с проблемой

На днях?

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Сервис Пак 3 уже 2 года назад вышел....
ИЕ 8 - 2 месяца назад...

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\m3dwyn1az\j002.exe');
 StopService('satey Service');
 StopService('sdtbns Service');
 QuarantineFile('C:\WINDOWS\system32\i083421\J002.exe','');
 QuarantineFile('C:\WINDOWS\system32\M3DWYN1AZ\J002.exe','');
 QuarantineFile('c:\windows\system32\m3dwyn1az\j002.exe','');
 DeleteFile('c:\windows\system32\m3dwyn1az\j002.exe');
 DeleteFile('C:\WINDOWS\system32\M3DWYN1AZ\J002.exe');
 DeleteFile('C:\WINDOWS\system32\i083421\J002.exe');
 DeleteService('sdtbns Service');
 DeleteService('satey Service');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sdtbns Service');
 BC_DeleteSvc('satey Service');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[executive]

На днях?

да, заразился... часов 10 сканировал антивирусом(NOD), потом AVPTool(около 22 часов), а что Вас смущает?

Сервис Пак 3 уже 2 года назад вышел....

надо разобраться, поставить...

ИЕ 8 - 2 месяца назад...

ie за последние 3 года пользовался раз 10 максимум, opera в основном... но тоже обновлю.

ps: восстановление системы уже можно включать?

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

готово, с 5 попытки

Код:

Файл сохранён как	090611_232204_virus_4a31595cd8a34.zip
Размер файла	2005560
MD5	8281fbbf26521fdd31344dea87e3e303

[Rene-gad]

да, заразился...

Неустановкой СП3 и патчей Вы ПОЗАБОТИЛИСЬ о заражении системы. То, что оно себя проявило пару дней назад не означает, что это тогда же и произошло.

надо разобраться, поставить...

Надо СТАВИТЬ, разбираться некогда.

ie за последние 3 года пользовался раз 10 максимум

Да хоть и вообще не пользовались - ИЕ это часть ОС, посему непатченные уязвимости остаются таковыми даже в случае полного непользования.

восстановление системы уже можно включать?

нет.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('htkhg');
 QuarantineFile('C:\WINDOWS\system32\htkhg.exe','');
 QuarantineFile('C:\WINDOWS\system32\mycutries.dll','');
 DeleteFile('C:\WINDOWS\system32\mycutries.dll');
 DeleteFile('C:\WINDOWS\system32\htkhg.exe');
 DelBHO('{DFDC8970-FD66-4385-B8C0-835A4AA1DA00}');
 DelBHO('{71F65890-5ED6-11d4-9665-00E02962D81A}');
 DelBHO('{531B9DC0-D8EE-4c76-A6EE-6C1E50569655}');
 DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
 DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
 DelBHO('{5F50A50A-0A0F-4F58-8B1C-62BC60F9B05A}');
 DeleteService('htkhg');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('htkhg');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[executive]

Неустановкой СП3 и патчей Вы ПОЗАБОТИЛИСЬ о заражении системы. То, что оно себя проявило пару дней назад не означает, что это тогда же и произошло.

патчи грузятся автоматически, а сп3 упущение
а вирусы конечно есть, и были, просто раньше таких проблем не создавали

- Удалите Bonjour

как указан все сделал.
в папке

Код:

C:\Program Files\Bonjour\

есть два файла:

Код:

mdnsNSP.dll
mDNSResponder.exe

их можно удалить?

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

Результат загрузкиФайл сохранён как 090612_145920_virus_4a323508553da.zip
Размер файла 1789102
MD5 38d7006d0cd532ab3e9bb9055c68c412

[Rene-gad]

в папке

Код:

C:\Program Files\Bonjour\

есть два файла:

Код:

mdnsNSP.dll
mDNSResponder.exe

их можно удалить?

Нужно. И саму папку. В статье Что такое Бонжур есть даже скрипт. Вы его запускали?
Проблема в том, что эта служба интегрирована в пакет установки и обновления полезных программ, напр. iTunes . Я его удаляю его сразу после обновления через Установку/Удаление приложений.

[executive]

Нужно. И саму папку. В статье Что такое Бонжур есть даже скрипт. Вы его запускали?
Проблема в том, что эта служба интегрирована в пакет установки и обновления полезных программ, напр. iTunes . Я его удаляю его сразу после обновления через Установку/Удаление приложений.

удалил

Добавлено через 1 час 33 минуты

Тут еще вот какое дело, в каждой директории(путь к ним на прикрепленном изображении) вида

1041
1042
PCVA0DEJV
PL7C6EOGS

лежит J002.exe и J001.exe
их в ручную удалить? NOD говорит что это не вирус :/

в последних логах подозрительного ничего?

теперь вот SVCHOST.exe очень часто загружает цп на 100%

[Rene-gad]

Вот эти странные директории - можно их по дате отсортировать? Если нет - то надо бы конечно каждую в отдельности удалить.
Повторите сейчас логи.

[executive]

Не соображу как их можно по дате отсортировать буду вручную удалять.
В этих подозрительных папках встречается dwintl.dll его тоже можно/нужно удалить?

[Rene-gad]

Почитайте тут: http://www.processlibrary.com/de/dir...s/dwintl/28261 Может у Вас от Мессенджера все идет?
И удалите подозрительный файл с общедоступного ресурса!!! У нас есть механизм закачки и проверки таких файлов.

[executive]

Результат загрузкиФайл сохранён как 090613_203745_стремные файлы_4a33d5d9cf111.zip
Размер файла 439338
MD5 2241540c572e42cae12f92d1d6004b2b

загрузил!
я в начале тож подумал про правила загрузки, но там говорилось о файлах запрашиваемых хелперами, а еще про совесть, так вот я и побоялся

[Rene-gad]

Не используйте в имени файлов и логов русские буквы!!!

[executive]

исправил

Результат загрузки
Файл сохранён как 090613_232128_virus1_4a33fc38b6554.zip
Размер файла 439497
MD5 31e86529a30b0ce26b90ea3882cde3ec

[Rene-gad]

5788.exe_ - Backdoor.Win32.Hupigon.hbxq

Детектирование файла будет добавлено в следующее обновление.

dwintl.dll

Вредоносный код в файле не обнаружен.

[executive]

и почти ж не пользовался компом, и опять началось...
на данный момент. самая большая проблема не прекращающиеся запросы к хттп://www.yiruisha.in/index-2.asp
из-за чего комп тормозит как никогда и не работает инет

снова появились проблемы сфайлами 003.exe
в С\виндоус\систем32\ в непонятных директориях их полно.
а ведь все в ручную удалил.

и эта зараза super.zavan.info

сделал все снова, как требуют правила

появилось еще это аутпостом блокирую. вроде как вирус, и тут на форуме про него писали.
vmmreg.exe
winhelp32.exe
awp.exe

[Rene-gad]

опять началось...

а оно и не заканчивалось: как был проходной двор

Platform: Windows XP SP2 (WinNT 5.01.2600)

так и остался.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('rootser Service');
 StopService('BackGround switch');
 StopService('awp');
 QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
 QuarantineFile('c:\windows\system32\physvc.dll','');
 QuarantineFile('C:\WINDOWS\system32\dwintel.dll','');
 QuarantineFile('C:\WINDOWS\system32\DSGSF72DNN\J001.exe','');
 QuarantineFile('C:\WINDOWS\system32\awp.exe','');
 DeleteFile('C:\WINDOWS\system32\awp.exe');
 QuarantineFile('C:\WINDOWS\system32\drivers\hspf.sys','');
 DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
 DeleteFile('C:\WINDOWS\system32\regedit32.exe');
 DeleteFile('c:\windows\system32\physvc.dll');
 DeleteFile('C:\WINDOWS\system32\dwintel.dll');
 DeleteFile('C:\WINDOWS\system32\DSGSF72DNN\J001.exe');
 DeleteService('rootser Service');
 DeleteService('BackGround switch');
 DeleteService('awp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('rootser Service');
BC_DeleteSvc('BackGround switch');
BC_DeleteSvc('awp');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[executive]

говорит в скрипте ошибка

Ошибка: Undeclared identifer: 'BC_DeleteSvce' в позиции 26:14

[Rene-gad]

говорит в скрипте ошибка

Правду говорит - исправил скрипт , сорри.

[executive]

готово

[Rene-gad]

Жалобы есть? В логах ничего подозрительного.