Помогите с вирусякой

**Badabum** · 19.01.2010, 09:03

Проблема заключается в том, что на флешках с зараженного компьютера распоространяется вирус с автораном, кроме того, постоянно работает флоппи привод, как оказалось, если в нем не стоит дискеты, то он постоянно прокручивает его, если дискету вставить, то вирус записывает свое тельце и авторан на нее и флоппи успокаивается. Кроме того, в безопасный режим не загружается, пришлось скачать программу восстанавливающую ключи в реестре, только после ее использования Безопасный режим стал доступен, но на один раз, после одной нормальной загрузки в безопасный уже снова не загрузиться и необходимо снова восстанавливать соответствующие ключи реестра.
Востановление системы включено и вопреки правилам отключить его я не смог ибо вкладки в свойствах компьютера НЕТ - постарался вирус.
Symantic на другом компьютере определяет этот вирус как W32.Spybot.Worm.
Вот логи

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 19.01.2010, 15:46

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: Info cache - {296AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Intel\baiduc.dll (file missing)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [] 
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Maq.exe','');
 QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\mQbol.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinHelpxbgoy1.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice2008.exe','');
 QuarantineFile('C:\WINDOWS\Remotrabc.exe','');
 QuarantineFile('C:\WINDOWS\system32\gvlye.exe','');
 QuarantineFile('C:\WINDOWS\system32\XFXNBQUV8C\H001.exe','');
 QuarantineFile('C:\WINDOWS\System32\NeSrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\34PT2NR69Q\P001.exe','');
 QuarantineFile('C:\WINDOWS\Ativs.exe','');
 QuarantineFile('C:\WINDOWS\Ati2ess.exe','');
 QuarantineFile('C:\WINDOWS\system32\ooqks.exe','');
 QuarantineFile('C:\WINDOWS\Fonts\20C2058C.EXE','');
 QuarantineFile('C:\WINDOWS\system32\dltsrunsrv.dll','');
 QuarantineFile('C:\WINDOWS\system32\bvjbb.map','');
 QuarantineFile('C:\WINDOWS\Intel\baiduc.dll','');
 QuarantineFile('C:\WINDOWS\system32\urlqp.bmp','');
 QuarantineFile('C:\WINDOWS\System32\hhhftk.dll','');
 DeleteFile('C:\WINDOWS\System32\hhhftk.dll');
 DeleteFile('C:\WINDOWS\Intel\baiduc.dll');
 DeleteFile('C:\WINDOWS\Fonts\20C2058C.EXE');
 DeleteFile('C:\WINDOWS\system32\ooqks.exe');
 DeleteFile('C:\WINDOWS\Ati2ess.exe');
 DeleteFile('C:\WINDOWS\Ativs.exe');
 DeleteFile('C:\WINDOWS\system32\34PT2NR69Q\P001.exe');
 DeleteFile('C:\WINDOWS\System32\NeSrv.exe');
 DeleteFile('C:\WINDOWS\system32\XFXNBQUV8C\H001.exe');
 DeleteFile('C:\WINDOWS\system32\gvlye.exe');
 DeleteFile('C:\WINDOWS\Remotrabc.exe');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice2008.exe');
 DeleteFile('C:\WINDOWS\system32\WinHelpxbgoy1.exe');
 DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\mQbol.exe');
 DeleteFile('c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Maq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('WinHelpxbgoy1');
 BC_DeleteSvc('Windows_rejoice2008');
 BC_DeleteSvc('Windows Inster');
 BC_DeleteSvc('VMnetDHCP');
 BC_DeleteSvc('sddsdaqewe DDOS Service');
 BC_DeleteSvc('NesSrv');
 BC_DeleteSvc('DescriptionHero2');
 BC_DeleteSvc('Ativs');
 BC_DeleteSvc('Ati2evss');
 BC_DeleteSvc('asd');
 BC_DeleteSvc('1E6FC624');
 BC_DeleteSvcReg('ajnnnp');
BC_Activate;
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67797).
Сделайте новые логи.

Сделайте дополнительно лог gmer.

**Badabum** · 20.01.2010, 15:35

В реестре прописал куст по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore], после этого появилась вкладка Восстановление системы, потом с помощью AVZ разблокировал и отключил это самое восстановление системы.
Флоппи диск так и продолжает безустанно работать без дискеты. Еще Internet Explorer не запускается.
Карантин закачал:
Файл сохранён как 100120_153606_Quarantine_4b56f8b69e9e4.zip
Размер файла 121292
MD5 3c0213f1ee4ec384de6dcd38dde47857

Новые логи

**Bratez** · 20.01.2010, 16:02

Пофиксите в HijackThis:

Код:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\bvjbb.map','');
 QuarantineFile('C:\WINDOWS\system32\urlqp.bmp','');
 QuarantineFile('C:\WINDOWS\system32\rlngdca.dll','');
 QuarantineFile('c:\windows\system32\ssdpsrv.dll','');
 QuarantineFile('c:\windows\system32\appmgmts.dll','');
 DeleteFile('C:\WINDOWS\system32\urlqp.bmp');
 DeleteFile('C:\WINDOWS\system32\bvjbb.map');
 DeleteFile('C:\WINDOWS\system32\dltsrunsrv.dll');
 DeleteFile('C:\WINDOWS\system32\rlngdca.dll');
BC_ImportALL;
ExecuteSysClean;
RegKeyStrParamWrite( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ersvc\Parameters', 'ServiceDll', '%SystemRoot%\System32\ersvc.dll');
BC_DeleteSvcReg('DltsSrv');
BC_DeleteSvcReg('ias');
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\asnxncrv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\asnxncrv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet003\Services\asnxncrv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\asnxncrv');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\asnxncrv\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\asnxncrv');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи п.2 и 3 раздела Диагностика + лог gmer.

**Badabum** · 21.01.2010, 15:08

IExplorer запустился, в остальном проблемы остались. На счет лога gmer тут все плохо, ибо он проверяет систему больше 5 часов, на работе не успеваю, оставил на ночь завтра с утра выложу полную версию, сейчас версия после быстрой проверки

**Bratez** · 21.01.2010, 15:57

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\appmgmts.dll','');
QuarantineFile('C:\WINDOWS\System32\ssdpsrv.dll','');
QuarantineFile('C:\WINDOWS\system32\mspmsnsv.dll','');
QuarantineFile('C:\WINDOWS\system32\seserunsrv.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67797).

**Badabum** · 22.01.2010, 09:21

Файл сохранён как 100122_092124_2010-01-22_4b5943e4a2d63.zip
Размер файла 121689
MD5 75ad82892d8926673711b0b9e96d2f8a

**Bratez** · 22.01.2010, 10:44

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\seserunsrv.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**Badabum** · 22.01.2010, 13:48

Проблемы все остались
Новые логи

**Bratez** · 22.01.2010, 17:18

Что-то у вас в каждых логах что-нибудь новенькое...

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('c:\windows\system32\appmgmts.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\wowsub.sys','');
 DeleteFile('C:\WINDOWS\TEMP\wowsub.sys');
 DeleteFileMask('C:\WINDOWS\TEMP', '*.*',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(10);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи.

**Badabum** · 22.01.2010, 17:26

Я решил диск форматнуть, собственно уже новая система стоит, осталось только сопутсвующие проги поставить, просто комп на работе очень нужен. Спасибо за потраченное время.

**CyberHelper** · 23.01.2010, 17:26

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\dltsrunsrv.dll - Trojan-Downloader.Win32.Agent.czkz ( BitDefender: DeepScan:Generic.Peed.86A89DBB )
2. c:\windows\system32\seserunsrv.dll - Trojan-Downloader.Win32.Agent.czlq ( DrWEB: Trojan.DownLoad1.32262, BitDefender: DeepScan:Generic.Peed.E3505DF2, AVAST4: Win32:Rootkit-gen [Rtk] )

Помогите с вирусякой (заявка № 67797)

Опции темы

Помогите с вирусякой

Итог лечения

Похожие темы

Ваши права в разделе