system32.exe и другие

[InterLife]

Вообщем Авира начала ругаться на system32.exe в папке Temp. Переодически возникают ругачки на трояны в разных местах с разными именами расширения .tmp. Еще флоппик странно переодически урчит. Прошу помощи мастеров! Спасибо!

[Шапельский Александр]

Пофиксить в Hijack следующие строки:

Код:

O20 - AppInit_DLLs: D:\WINDOWS\system32\vksaver.dll

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('‘|x.exe','');
 QuarantineFile('D:\Program Files\Serious Sam 2\Bin\SeriousPlugin4LW.p','');
 QuarantineFile('D:\WINDOWS\libmysql.dll.bak','');
 QuarantineFile('D:\WINDOWS\system32\msvcrt57.dll','');
 QuarantineFile('D:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('D:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('D:\WINDOWS\system32\vksaver.dll','');
DeleteFile('D:\WINDOWS\system32\vksaver.dll');
 DeleteFile('D:\WINDOWS\system32\H@tKeysH@@k.DLL');
 DeleteFile('D:\Program Files\Microsoft Common\svchost.exe');
 DeleteFile('D:\WINDOWS\system32\msvcrt57.dll');
 DeleteFile('‘|x.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(9);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

[InterLife]

Все сделал. Флоппик заткнулся. Теперь ругачки на system32.exe ежепяти секундные.

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('D:\WINDOWS\system32\advpackm.exe','');
 DeleteFile('D:\WINDOWS\system32\advpackm.exe');
 QuarantineFile('D:\WINDOWS\system32\drivers\oreans32.sys','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Скачайте новую версию avz, cделайте новые логи.

[InterLife]

Результат загрузки Файл сохранён как 091211_200312_virus_4b227b50be04f.zip
Размер файла 4213113
MD5 a698ab0e19839cb882bf1907c39879aa

Простите мою невнимательность. Первый раз я выслал немного не в соответствии с требованиями правил. Это информация второго.

[InterLife]

Выполнил скрипт. Высылаю новые логи и карантин. Вроде все нормально стало. Единственное - тормоза остались, но быть может вовсе не вирусы тому виной=) Спасибо!

[Шапельский Александр]

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('d:\windows\system32\netprotocol.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

Сделайте лог MBAM

[InterLife]

Шлю логи и лью карантин.

[Шапельский Александр]

Восстановление системы: включено

Отключить! Перезагрузить ПК, выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('d:\windows\system32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

В MBAM удалить следующее:

Код:

аражено ключей реестра:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(default) (Hijack.Webcheck) -> Bad: (D:\WINDOWS\system32\msvcrt57.dll) Good: (webcheck.dll) -> No action taken.

Заражено папок:
D:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.

Заражено файлов:
C:\Downloaded\PS\Shfolder.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\VXK\Рабочий стол\папина\Drivers\v1.22\HFB122US\Winflash32\flash.sys (Rootkit.Rustock) -> No action taken.
C:\Documents and Settings\VXK\Рабочий стол\папина\v1.32\Winflash32\flash.sys (Rootkit.Rustock) -> No action taken.
C:\QIP Infium\Profiles\7-668-422\RcvdFiles\InfICQ_486913093\FolderView v1.4.exe (Trojan.FakeAlert) -> No action taken.
D:\System Volume Information\_restore{3FC72516-50B6-423D-946C-2868ECCAB508}\RP322\A0140894.exe (Malware.Packer) -> No action taken.
E:\RECYCLER\S-1-5-21-1292428093-448539723-1644491937-500\Dd13\portal-client\TCPIP.SYS patcher for WinXP\EvID4226Patch.exe (Malware.Tool) -> No action taken.
E:\RECYCLER\S-1-5-21-1292428093-448539723-1644491937-500\Dd22.105\Portable_HDD_Life_Pro_2.9.105\Portable_HDD_Life_Pro_2.9.105\Crack\ArmAccess.dll (Malware.NSPack) -> No action taken.
D:\Program Files\Hydra.dll (Spyware.OnlineGames) -> No action taken.
D:\WINDOWS\Temp\rdl66.tmp.exe (Trojan.Dropper) -> No action taken.
D:\WINDOWS\exploree.exe (Trojan.Downloader) -> No action taken.

Сделать лог MBAM

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 48
• В ходе лечения обнаружены вредоносные программы:
  
  1. d:\program files\microsoft common\svchost.exe - Worm.Win32.Bezopi.vh ( DrWEB: Win32.HLLW.Autoruner.6326 )
  2. d:\windows\system32\advpackm.exe - Backdoor.Win32.Agent.ankw ( DrWEB: BackDoor.Siggen.4962, BitDefender: Backdoor.IRC.ZGQ, NOD32: Win32/PSW.Ceda trojan )
  3. d:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.mz ( DrWEB: Trojan.PWS.Webmonier.186 )
  4. d:\windows\system32\netprotocol.dll - Trojan.Win32.Obfuscated.aivn ( BitDefender: Gen:Trojan.Heur.P.cq4@fC9ulTdi )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !