Help плиз!

[27RUS]

Здравствуйте!

не знаю как назвать тему, сорри.

Поймал чтото непонятно что.
AVP VirRemovalTool не обнаруживает, AVP6 не запускается вообще.
Kerio FireWall неправильно и странно работает. В первый день были обращения к дисководу. AVP6 еще работал но ничего не находил.

При попытке переустановить AVP или Kerio - синий экран.
При загрузке в безопасном режиме Windows синий экран.
HiJack не запускается.

Прикладываю все файлы которые обозначены в правилах.

Надеюсь на Вашу помощь.
В прошлый раз итогом подобного случая был раздолбаный со злости комп

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('DumaNT');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\dumant.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\copystar.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp','');
 QuarantineFile('C:\WINDOWS\TEMP\Sddrv.tmp','');
 QuarantineFile('\systemroot\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys','');
 DeleteFile('\systemroot\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys');
 DeleteFile('C:\WINDOWS\TEMP\Sddrv.tmp');
 DeleteFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp');
 DelCLSID('5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA');
 QuarantineFile('C:\WINDOWS\TEMP\tempo-4016656.tmp','');
 DeleteFile('C:\WINDOWS\TEMP\tempo-4016656.tmp');
 QuarantineFile(' C:\WINDOWS\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys','');
 QuarantineFile(' C:\WINDOWS\system32\MSIVXwwkmtrihrpxurnbbqxcllqlgnsqoxtpg.dll','');
 QuarantineFile(' C:\WINDOWS\system32\MSIVXjtarmpmdbvdfykolniyvnbutowqgrrhp.dll','');
 QuarantineFile(' C:\Documents and Settings\Andrey\Local Settings\Temp\~DF2B4C.tmp','');
 QuarantineFile(' C:\Documents and Settings\Andrey\Local Settings\Temp\~DF1A5A.tmp','');
 DeleteFile(' C:\WINDOWS\system32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys');
 DeleteFile(' C:\WINDOWS\system32\MSIVXwwkmtrihrpxurnbbqxcllqlgnsqoxtpg.dll');
 DeleteFile(' C:\WINDOWS\system32\MSIVXjtarmpmdbvdfykolniyvnbutowqgrrhp.dll');
 DeleteFile(' C:\Documents and Settings\Andrey\Local Settings\Temp\~DF2B4C.tmp');
 DeleteFile(' C:\Documents and Settings\Andrey\Local Settings\Temp\~DF1A5A.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить логи

3. Сделать еще такой лог

[27RUS]

запустил скрипт, перезагрузился.

в карантин не скопировались некоторые файлы:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\MSIVXenbakfrhxrwalrqj yijkygkxgxlrtlnd.sys)
Карантин с использованием прямого чтения - ошибка

лог файл работы скрипта прилагаю avz_log.rar.

после перезагрузки заработала конфигурация AVP, настроил, обновил, запустил.
работает. проверил на максимуме - нашлось вот это:

29.06.2009 13:25:39 Файл C:\Documents and Settings\Andrey\Local Settings\Temp\BlueRaTech.exe, обнаружено: троянская программа 'Trojan.Win32.Tdss.aiac'.

вылечил.

29.06.2009 15:16:25 Файл C:\Documents and Settings\Andrey\Local Settings\Temp\BlueRaTech.exe удален.

больше ничего не находит.

при загрузке происходит обращение к флоппи один раз.
Kerio опять таки не работает нормально (запускаю службу - у меня инет пропадает, у терминалов появляется).

нет ни одного CD|DVD (стоят восклицательные знаки в Device managere)
то же самое на модеме и в Network adaptors -> Direct parallel
также в System devices -> WinDriver

HiJack запускается нормально.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{504B598F-3A4E-47AC-BEBD-82105E76B16A}: NameServer = 85.255.112.172,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA236571-B606-4D95-B7F8-77E926A03F0A}: NameServer = 85.255.112.172,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD26C8D-4999-4146-89EB-E6B07B613508}: NameServer = 85.255.112.172,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.172,85.255.112.26
O18 - Filter: AutorunsDisabled - (no CLSID) - (no file)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Superk5');
 StopService('Sddrv');
 QuarantineFile('C:\WINDOWS\system32\Drivers\superk5.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp','');
 QuarantineFile('C:\WINDOWS\TEMP\Sddrv.tmp','');
 DeleteFile('C:\WINDOWS\TEMP\Sddrv.tmp');
 DeleteFile('C:\WINDOWS\TEMP\SdFsXpFlt.tmp');
 DeleteFile('C:\WINDOWS\system32\Drivers\superk5.sys');
 DeleteService('Sddrv');
 DeleteService('Superk5');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Sddrv');
BC_DeleteSvc('Superk5');
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[thyrex]

+ к предыдущему совету

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service dxfuddb
gmer.exe -del service MSIVXserv.sys
gmer.exe -del service ylvinw
gmer.exe -del file "C:\WINDOWS\system32\xpwho.dll"
gmer.exe -del file "C:\WINDOWS\System32\drivers\MSIVXenbakfrhxrwalrqjyijkygkxgxlrtlnd.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXwwkmtrihrpxurnbbqxcllqlgnsqoxtpg.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXjtarmpmdbvdfykolniyvnbutowqgrrhp.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dxfuddb"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ylvinw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\dxfuddb"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ylvinw"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

[27RUS]

все сделал.

при запуске батника gmer'a некоторых файлов не было обнаружено

gmer.exe -del file "C:\WINDOWS\System32\drivers\MSIVXenbakfrhxrwalrqj yijkygkxgxlrtlnd.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXwwkmtrihrpxurnbbqxcllqlg nsqoxtpg.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXjtarmpmdbvdfykolniyvnbut owqgrrhp.dll"

[27RUS]

CDROM восстановил с помощью MicrosoftFixit50027_CDROM.msi обращения к флоппи были - сунул дискету, чтото там писало читало, посмотрел - пусто. пока не просит.

Керио странно себя ведет иногда, но в общем то все работает.

я так понимаю все в порядке уже

Большое спасибо всем кто помог!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\temp\tempo-4016656.tmp - Trojan-Downloader.Win32.FraudLoad.eve