reader_s.exe и компания

[Glebych]

Начальные данные: Компьютер с Win XP SP2, никаких антивирусов на нем не стояло - соответственно целый набор зверей во главе с services.exe и reader_s.exe, которые не удаляются
Симптомы:
1. Недавно(видимо в момент очередного заражения) отрубился диспетчер очереди печати - при загрузке выдает ошибку spoolsv (память не может быть read), вручную тоже не запускается -соответственно все принтеры отвалились.
2. IE8 не запускается вообще, Опера работает, но сайт virusinfo.info не открывает, хотя всякие рамблеры с яндексами без проблем - черт его знает, где заблокировано, hosts стандартный-непонятно.
3. В памяти висит процесс 4.tmp (цифры меняются), отжирающий до 99% ресурсов, парочка reader_s.exe и четыре services.exe
Вот такой зоопарк

[DefesT]

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Надо Вам сначала провериться на наличие файловых вирусов.
Сам файл avz.exe пришлите по правилам
http://virusinfo.info/upload_virus.php?tid=49173

[Glebych]

win32.virut.56 в больших количествах! Сегодняшний LiveCD правда его почему то не видит, но CureIt находит и лечит без проблем.
avz.exe с этим зверем выслал - поражены практически все исполняемые файлы, включая драйверы сетевой карты, принтера и т.д.

[Bratez]

Когда пролечите Virut, сделайте новый комплект логов.

[Glebych]

после суток лечения похоже осталась \WINDOWS\system32\ajeyiuaq.dll

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: ajeyiuaq - C:\WINDOWS\SYSTEM32\ajeyiuaq.dll

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\system32\ajeyiuaq.dll','');
 DeleteFile('C:\WINDOWS\system32\ajeyiuaq.dll');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('protect');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=49173).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[Glebych]

Итоговые отчеты (к сожалению, карантин не сохранился - лечил до 5 утра и голова уже не варила)

[Bratez]

Активной заразы больше не видно.

Откройте окно командной строки, наберите:
sc delete protect
и нажмите Enter. Сообщите ответ системы.

Что с проблемами?

[Glebych]

Ответ системы сообщу послезавтра - раньше до этого компа не доберусь.

Что касается проблем - с помощью DrWeb 4.44 найдено и вылечено около 300 экзешников с win32.virut.56, после чего пришлось пререставить WinXP SP3 поверх, поскольку многие файлы после лечения оказались испорченными - в результате все работает, логи событий чистые, ошибок нет, все программы бухгалтерские(из-за чего и сыр-бор, дистрибутивов давно нет) работают.

[Glebych]

После первого запуска команды
sc delete protect
[SC] DeleteService SUCCESS
После следующих запусков
[SC] OpenService FAILED 1060:

[Bratez]

А зачем повторно запускать?
Все нормально.

[Glebych]

Дык этааа - на всякий случай, типа контрольный в голову
Видимо, можно считать тему закрытой, наконец-то!
Осталось обновить DrWeb до версии 5.0

PS Кстати, reader_s.exe это всего лишь запускалка Acrobat Reader, правда в данном случае инфицированная virut-ом

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \avz.exe.3db8dd44 - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56 )