Вирусы удаляются - их "загрузчики" остаются

**Pro100** · 03.08.2009, 15:55

Добрый день!

Операционная система:
Windows XP Professional SP3
Антивирусная программа:
Kaspersky Internet Security 2010 (9.0.0.463)
Суть проблемы:
После того, как KIS 2010 находит и удаляет вредоносное ПО, всё, вроде бы, начинает нормально работать, хотя компьютер продолжает немного подтормаживать. Но, через некоторое время, вредоносное ПО опять появляется и KIS 2010, конечно же, его находит и удаляет. И вот так всё происходит по "замкнутому кругу" (логи прилагаются).
Примеры детектируемых программ:
Backdoor.Win32.SdBot.obb, Trojan.Win32.Agent.crim, Trojan.Win32.VB.rzz, Net-Worm.Win32.Kolab.dey.

Буду благодарен за любую оказанную помощь!

__________
Станислав

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 03.08.2009, 16:14

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Qsaf.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\Qsaf.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\drivers\qsaf.exe');
 QuarantineFile('c:\windows\system32\drivers\qsaf.exe','');
 QuarantineFile('C:\WINDOWS\LchDrvKey.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-6477479025-5559824656-525193569-1023\mwau.exe','');
 DeleteFile('c:\windows\system32\drivers\qsaf.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-6477479025-5559824656-525193569-1023\mwau.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','TaskMan');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**Pro100** · 03.08.2009, 18:00

Спасибо! Вот новые логи по вашей просьбе. Карантин на сервер закачал.

**Rene-gad** · 03.08.2009, 18:51

Сообщение от Pro100

Карантин на сервер закачал.

Бог знает как закачали. Для кого правила писаны?

**Pro100** · 03.08.2009, 19:01

Сообщение от Rene-gad

Бог знает как закачали. Для кого правила писаны?

Без проблем - сейчас я его повторно загружу. Прошу прощения!

**Rene-gad** · 03.08.2009, 19:01

По веб-папкам :

- Выполните скрипт

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}',1);
RebootWindows(true);
end.

Какие ещё проблемы?

- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader

**Pro100** · 03.08.2009, 19:57

Сообщение от Rene-gad

Какие ещё проблемы?

Ну, например, при запуске интернет-браузера (Mozilla Firefox), KIS 2010 ругается на Worm.Win32.Kolab.dep, который находится в "C:\", "C:\WINDOWS", а также в "C:\WINDOWS\System32", а ещё KIS 2010 ругается на какую-то ещё загрузку через "explorer.exe" (см. скрины)

**thyrex** · 03.08.2009, 21:09

Компьютер случайно не в локальной сети? Заплатки, вышедшие после SP3, все установлены?

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
TerminateProcessByName('c:\windows\system32\drivers\qsaf.exe');
 QuarantineFile('c:\windows\system32\drivers\qsaf.exe','');
 DeleteFile('c:\windows\system32\drivers\qsaf.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-5352462913-9335597351-194221137-0651\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','TaskMan');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**Pro100** · 04.08.2009, 12:59

Добрый день, друзья!

Вот новые логи. Карантин "virus" загрузил.

Иногда, при загрузке интернет-браузера вылетают алерты (см. скрины) А ещё, система продолжает немного подтормаживать.

**Rene-gad** · 04.08.2009, 13:13

Сделайте такой лог: http://virusinfo.info/showthread.php?t=40118

**Pro100** · 04.08.2009, 14:05

Сообщение от Rene-gad

Сделайте такой лог: http://virusinfo.info/showthread.php?t=40118

Пожалуйста

Я бы с удовольствием подождал бы и не один день, но ведь вирусы в системе ещё действуют и, наверно, размножаются... Будьте добры, помогите мне с этим разобраться.

**Rene-gad** · 04.08.2009, 19:01

Сообщение от Pro100

ведь вирусы в системе ещё действуют и, наверно, размножаются...

Они себя в логах не показывают.
Включите протоколлирование в Касперском (главное окно/ нажмите на ссылку Поддержка/Трассировки), когда эти окна появятся - заблокируйте их и пришлите протоколы.

**Pro100** · 05.08.2009, 15:33

Rene-gad, ясно... Спасибо!

Быть может, кто-нибудь ещё может что-нибудь подсказать?

**Pro100** · 05.08.2009, 22:52

По просьбе thyrex'a, сделал специальный лог MBR

**thyrex** · 05.08.2009, 23:31

Включите AVZPM и сделайте новые логи AVZ

**Pro100** · 05.08.2009, 23:33

Выкладываю новые логи (с AVZPM)

Спасибо за помощь!

**thyrex** · 06.08.2009, 10:12

Сделайте отчет утилиты GSI http://forum.kaspersky.com/index.php...dpost&p=764187

**Pro100** · 06.08.2009, 10:46

Новый лог GSI

**thyrex** · 06.08.2009, 11:29

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\011.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\016.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\059.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\128.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\185.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\266.exe','');
QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\276.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\381.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\389.exe','');
QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\445.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\481.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\505.exe','');
QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\507.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\738.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\744.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\823.exe','');
 QuarantineFile('C:\Documents and Settings\Станислав\Local Settings\Temp\829.exe','');
DeleteFileMask('C:\Documents and Settings\Станислав\Local Settings\Temp\', '*.*', true);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новыq отчет GSI

**Pro100** · 06.08.2009, 11:47

Загрузил карантин по красной ссылке + сделал новый лог GSI.

P.S.: AVZPM уже можно выключать или пусть будет?

Вирусы удаляются - их "загрузчики" остаются (заявка № 51234)

Опции темы