msdrive32, wshost32, vse432, win7service etc... надоедливые процессы.

[f1shb0ne]

корзина полностью не удаляется этим способом по причине того что файлы в ней, заняты другим процессом

[f1shb0ne]

Логи:

[Rene-gad]

- Выполните команды в GMER.

Код:

gmer.exe -del file "C:\WINNT\system32\drivers\LBTWiz.exe"
gmer.exe -del file "C:\WINNT\system32\secupdat.dat"
gmer.exe -reboot

После перезагрузки:
-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\WINNT\system32\drivers\LBTWiz.exe');
DeleteFile('C:\WINNT\system32\secupdat.dat');
RegKeyParamDel('HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temp','*.*',true);
DeleteFileMask('C:\Recycler\S-1-5-21-0432420807-5337844751-522354069-3143','*.*',true);
DeleteFileMask('C:\Recycler\S-1-5-21-0243936033-3052116371-381863308-1811','*.*',true);
DeleteFileMask('C:\windows\temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[f1shb0ne]

Лог:

[Rene-gad]

Виден свет в конце туннеля

C:\install\vano.utils\antimine.exe
C:\WINNT\system32\secupdat.dat

Эти 2 файла пришлите отдельным карантином (приложение 2 и 3 правил).

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuaratine;
 StopService('nod32drv');
 StopService('AMON');
 StopService('umjdmuzs');
 QuarantineFile('C:\WINNT\system32\drivers\nod32drv.sys','');
 QuarantineFile('C:\WINNT\system32\drivers\amon.sys','');
 QuarantineFile('C:\WINNT\System32\Drivers\umjdmuzs.sys','');
 DeleteFile('C:\WINNT\System32\Drivers\umjdmuzs.sys');
 DeleteFile('C:\WINNT\system32\drivers\amon.sys');
 DeleteFile('C:\WINNT\system32\drivers\nod32drv.sys');
 DeleteFile('C:\WINNT\system32\secupdat.dat');
 DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
 DeleteFileMask('C:\Documents and Settings\kiska.smart\Local Settings\Temp','*.*',true);
 DeleteFileMask('C:\Recycler\S-1-5-21-0432420807-5337844751-522354069-3143','*.*',true);
 DeleteFileMask('C:\Recycler\S-1-5-21-0243936033-3052116371-381863308-1811','*.*',true);
 DeleteFileMask('C:\windows\temp','*.*',true);
 DeleteService('nod32drv');
 DeleteService('AMON');
 DeleteService('umjdmuzs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог полного сканирования MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[f1shb0ne]

В первом virus.zip нет secupdat.dat по причине:
AVZ: "Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\secupdat.dat) Карантин с использованием прямого чтения - ошибка"
---
Логи:

[Rene-gad]

Попробуйте пролечить в МБАМ все пункты, которые он показывает.
Потом перегрузитесь и сделайте только лог МБАМ.

[f1shb0ne]

mbam находит(после полного скана mbam.log) secupdat.dat как Backdoor.Bot - удаляет его с перегрузкой системы.
Потом делаю повторный quick scan и снова находит его - mbam-quickScan.log (на последней стадии эвристического анализа)

Сделал поиск файла (secupdat.dat) по всему диску в C:\winnt\system32 его нет зато есть в "C:\Avenger\secupdat.dat", файл занят процессом и не удаляется

Поправка: файл не удаляется по причине "Отказано в доступе"..
Текущая учетная запись в группе Администраторы..

Пока выходил в интернет чтобы запостить логи снова появились процессы типа mcdrive32.exe, видимо они восстанавливаются при выходе в интернет за считанные минуты - я заметил что при максимальной очистке системе с последующим выходом в интернет все начинается с внешних tcp соединений от процесса "System" в диспетчере задач

поставил сверху SP3 - при первом запуске промелькнули 2 окна win консоли (cmd)
в диспетчере сразу висит mcdrive32.exe в корзине 1 файл лежит (пока что..) - csvcs.exe (занят процессом).

Сделал скан mbom'ом : он находит что в HKLM\microsoft\windows nt\currentversion\winlogon в ключе Taskman запускается csvcs.exe из корзины - он(mbom) их "удаляет", перегружается - делаю повторный скан все на месте =(

Скачал regmon от sysinternal : он показывает что при удалении(вручную) этого ключа он СРАЗУ ЖЕ восстанавливается (SetValue) процессом explorer.exe + почти каждую секунду опрос этого ключа через QueryValue этим же системным процессом - explorer.exe

[Rene-gad]

Скачайте Combofix: http://www.geekstogo.com/forum/Combofix-file197.html и сделайте очистку и лог: http://www.bleepingcomputer.com/comb...o-use-combofix
Пункт о консоли восстановления примите просто к сведению.
Если не поможет - придется сносить систему.

[f1shb0ne]

Всем кто помог - огромное спасибо (ветку можна закрыть)

Полечилось удалением драйвера с именем "tvajqbsy" группы SCSI Class (см. логи)
как я понял имя генерится случайным образом при инсталяции и может отличаться.
После удаления этого драйвера почистил систему с помощью CCleaner

Логи до удаления драйвера:

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 11
• Обработано файлов: 188
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\kiska.smart\gwun.exe - Backdoor.Win32.Agent.akgd ( AVAST4: Win32:Trojan-gen {Other} )
  2. c:\documents and settings\kiska.smart\local settings\temporary internet files\content.ie5\0oribjix\pr3xy[1].exe - Trojan.Win32.Buzus.bsao ( DrWEB: BackDoor.IRC.Sdbot.5093, BitDefender: Backdoor.IRCBot.ACTN, NOD32: Win32/Injector.WE trojan, AVAST4: Win32:Delf-MKX [Drp] )
  3. c:\documents and settings\kiska.smart\local settings\temporary internet files\content.ie5\0oribjix\var[1].exe - Trojan-GameThief.Win32.OnLineGames.bmml ( DrWEB: Win32.HLLW.Lime.16, BitDefender: Trojan.Delf.Inject.BK, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen {Other} )
  4. c:\documents and settings\kiska.smart\local settings\temporary internet files\content.ie5\1kgvuy9y\pr3xy[1].exe - Trojan.Win32.Buzus.bsao ( DrWEB: BackDoor.IRC.Sdbot.5093, BitDefender: Backdoor.IRCBot.ACTN, NOD32: Win32/Injector.WE trojan, AVAST4: Win32:Delf-MKX [Drp] )
  5. c:\documents and settings\kiska.smart\local settings\temporary internet files\content.ie5\1kgvuy9y\var[1].exe - Trojan-GameThief.Win32.OnLineGames.bmml ( DrWEB: Win32.HLLW.Lime.16, BitDefender: Trojan.Delf.Inject.BK, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen {Other} )
  6. c:\docume~1\kiska~1.sma\locals~1\temp\052.exe - Trojan-Downloader.Win32.Agent.cnha ( DrWEB: Trojan.Qhost.69, BitDefender: Trojan.Dropper.TDY, AVAST4: Win32:Trojan-gen {Other} )
  7. c:\recycler\s-1-5-21-0240430066-4213262780-417417981-5971\csvcs.exe - Trojan-Dropper.Win32.Agent.bben ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Dropper.TEC, NOD32: Win32/Peerfrag.AU worm, AVAST4: Win32:Rootkit-gen [Rtk] )
  8. c:\recycler\s-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe - Trojan-GameThief.Win32.OnLineGames.bmml ( DrWEB: Win32.HLLW.Lime.16, BitDefender: Trojan.Delf.Inject.BK, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Trojan-gen {Other} )
  9. c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe - Trojan.Win32.Buzus.bsao ( DrWEB: BackDoor.IRC.Sdbot.5093, BitDefender: Backdoor.IRCBot.ACTN, NOD32: Win32/Injector.WE trojan, AVAST4: Win32:Delf-MKX [Drp] )
  10. c:\recycler\s-1-5-21-0432420807-5337844751-522354069-3143\csvcs.exe - Trojan-Downloader.Win32.Agent.cnha ( DrWEB: Trojan.Qhost.69, BitDefender: Trojan.Dropper.TDY, AVAST4: Win32:Trojan-gen {Other} )
  11. c:\recycler\s-1-5-21-1065985914-7931851278-986932962-7779\mwau.exe - Email-Worm.Win32.BSpread.b ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/Peerfrag.DD worm, AVAST4: Win32:Crypt-EXW [Trj] )
  12. c:\recycler\s-1-6-21-2434476501-1644491937-600003330-1213\system32.exe - Trojan.Win32.Limon.a ( DrWEB: Win32.HLLW.Lime.18 )
  13. c:\winnt\msdrive32.exe - Trojan-Dropper.Win32.Small.dta ( DrWEB: Trojan.Qhost.69, BitDefender: IRC-Worm.Generic.6253, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )
  14. c:\winnt\system32\drivers\defmgr.exe - Net-Worm.Win32.Kolab.dpl ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Trojan.Kolab.C, AVAST4: Win32:Inject-UZ [Trj] )
  15. c:\winnt\system32\drivers\lbtwiz.exe - Net-Worm.Win32.Kolab.drc ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Kolab.C, NOD32: Win32/AutoRun.IRCBot.CA worm, AVAST4: Win32:Trojan-gen {Other} )
  16. c:\winnt\system32\drivers\winhost.exe - Net-Worm.Win32.Kolab.dpo ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Backdoor.IRCBot.ACUD, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-UZ [Trj] )
  17. c:\winnt\system32\wshost32.exe - Trojan-Downloader.Win32.Agent.cner ( DrWEB: Trojan.Qhost.69, BitDefender: Application.Generic.198223, NOD32: Win32/TrojanClicker.VB.NJT trojan, AVAST4: Win32:Trojan-gen {Other} )
  18. c:\winnt\win7service.exe - Trojan.Win32.Limon.a ( DrWEB: Win32.HLLW.Lime.18, AVAST4: Win32:Rootkit-gen [Rtk] )
  19. c:\winnt\win7service.exe - Trojan-Downloader.Win32.Pher.v ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )