Множественные симптомы инфекции (в заголовок не влезут)

**Yurij7** · 25.01.2010, 18:12

Операционка WinXP

Внезапные перезагрузки.
Некоторое время ПК перегружался из стандартной ограниченной учётки. Потом стал перестал загружаться -- зависание или презагруз недоходя до окна приветствия.
под Админом зайти смог. отключил все автозагрузки. Потом и под админом не грузилося. Загрузился по F8 SafeMode. Выключил автовосстановление, проверил имеющимися антивирусами (Нод32 и Нортон) -- ничего не нашли. Ч\з выпонить>msconfig полез отключить всё что можно -- отключил, при нажатии ОК, выдало "Для изменения настроек нужны права Администратора" (фразу не помню в точности, но суть такова)
Пробывал зайти в обычном режиме -- перегружается не доходя до экрана приветствия. В SafeMode тоже стало грузьться ч\з раз. Грешил на аппаратную часть -- отключил все сетевые карты и видеокарту (драйвера). Не грузится. Вытащил одну из двух планку памяти -- стало грузиться в СейфМод стабильно. При включении драйверов видеокарты -- перезагруз. Драйвера видеокарты выключил, загрузил сейфмод.

Закачал с другого ПК все программы, провёл все операции согласно инструкций в Правилах.

CureIt! нашёл 30 зараженных файлов и телА. Некоторые в осн.папках Нортона. Что-то удалил, другие перенёс. Лечению ничто не поддалось.

Что сейчас:
Всё грузится, но наблюдаю торможение выполнения программ

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**gjf** · 25.01.2010, 19:28

Выполните скрипт:

Код:

begin
 SetAVZPMStatus(true);
RebootWindows(false);
end.

Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
Сделайте лог с помощью GMER.
gmer.log

**Yurij7** · 25.01.2010, 21:46

gjf,
Спасибо за быстрый ответ.
Уточняю:

скрипт AVZ запускать в SafeMode или в обычном режиме? (Что из-под Админа я понял)

из текста правил следует что в обычном... да оно и логично.

**gjf** · 25.01.2010, 22:34

В обычном конечно.

**Yurij7** · 26.01.2010, 02:33

Сообщение от gjf

Сделайте повторный лог

Сделал.

Запустил gmer система зависла. Ждал 2 часа, не отвисла

**Yurij7** · 26.01.2010, 10:44

Сообщение от Yurij7

Сделал.

Запустил gmer система зависла. Ждал 2 часа, не отвисла

Вопрос: прегрузить и запустить по новой?

**gjf** · 26.01.2010, 11:01

Да нет, и так попробуем справиться.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 AddToLog('Удаление скрытого сервиса '+'ausopqsbe'+' - Результат:'+inttostr(BC_ServiceKill('ausopqsbe')) );
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 BC_ImportAll;
ExecuteSysClean;
 SetAVZPMStatus(false);
 SaveLog(GetAVZDirectory+'avz_log.txt');
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.

**Yurij7** · 26.01.2010, 16:23

Вроде бы всё сделал согласно инструкций.
Но 2 момента смущает:
1

1. Запустите AVZ*. ........
*Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.
........
2. Подключитесь к сети Интернет, запустите AVZ*......

Я перегружал ПК между запусками AVZ (между 1-м и 2-м пунктами). Нужно ли было это делать? Если нет, кажется нужно внести порядок в инструкцию.

2
Файрвола отдельного меня нету.

зы: если глупость сказал, сорри.

**Yurij7** · 26.01.2010, 16:25

И ещё. Прошу прощения, я не запаролил архив с карантином

**gjf** · 26.01.2010, 16:29

Больше ничего вредоносного в логах не видно.
Миссия выполнена

Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

**Yurij7** · 09.02.2010, 21:54

Итак, история повторилась.

Установил СП3 с оф.сайта, поставил Комодо. Антивир нормальный не ставил пока. Жду Аваст рус.
Около недели всё работало правильно.
Потом начались проявления, описанные в первом топике.
Наблюдал неделю. Такое впечатление, что микроб этот -- имеет интеллект

Перезагрузки, торможения, зависания. Регулярности нет. Зависимости с действиями пользователя я не наблюдаю.
Но так и хочется зайти в учётку Админа, чтобы запустить проверку или оптимизацию структуры дисков.
Но я этого не делаю.

Сегодня на ночь поставлю проверку Др.Вэб.
завтра отработаю все логи согласно инструкций.

Создать новую тему, или продолжить здесь?