Последствия Gigagen + Beagle

[Ilon]

Симптомы
- Периодически, раз в несколько минут, какая-то программа крадет фокус
- В процессах появляется IExplore.exe. При этом эксплорером не пользуюсь, при снесении, ничего не происходит, только через некоторое время эта строка опять появляется в списке процессов
- Появляется папка Windows\exefld и в нее сыпется всякое
- Компьютер не запускается в Safe Mode
- Не удается установить КАВ
- CureIt запустился, нашел gigagen, beagle и еще кого-то. Всех удалил, но симптомы, естесственно, сохранились.
- При запуске системы, если не устанавливать соединение с Интернетом, появляется два окошка, которые говорят, что запрошенный урл в офлайн режиме недоступен. При закрытии окошек появляются снова.
- Еще при перезагрузке зараженного компьютера, сбиваются настройки соединения с интернетом - с него снимается файервол и оно перестает шариться на втором компьютере. Может быть это симптом от чего-то другого, но кажется связан.

Прогнал процедуру в правилах, логи прилагаю.

Помогите, пожалуйста, сам, боюсь, не разберусь.
Заранее спасибо.

[anton_dr]

АВЗ - файл - выполнить скрипт
после перезагрузки прислать файл карантина согласно правилам.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\aod\aodshext.dll','');
 QuarantineFile('C:\Documents and Settings\Ilya\Application Data\hidires\m_hook.sys','');
 QuarantineFile('c:\windows\system32\wintems.exe','');
 QuarantineFile('c:\windows\system32\nutsrv4.exe','');
 QuarantineFile('c:\windows\system32\hldrrr.exe','');
 QuarantineFile('C:\Documents and Settings\Ilya\Application Data\hidires\hidr.exe','');
 QuarantineFile('C:\Documents and Settings\Ilya\Application Data\m\flec006.exe','');
RebootWindows(true);
end.

[Ilon]

выслал

[anton_dr]

Три штуки - по Касперскому Beagle различных версий, еще один - из той же серии. По другим ждем ответа, но скорей всего чистые.

Пока выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\system32\hldrrr.exe');
 DeleteFile('C:\Documents and Settings\Ilya\Application Data\hidires\m_hook.sys');
 DeleteFile('C:\WINDOWS\System32\wintems.exe');
 DeleteFile('C:\Documents and Settings\Ilya\Application Data\hidires\hidr.exe');
ExecuteSysClean;
RebootWindows(true);
end.

И пофиксите строки

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\System32\hldrrr.exe
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\System32\hldrrr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Ilya\Application Data\hidires\hidr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\System32\wintems.exe
O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\Ilya\Application Data\m\flec006.exe

[anton_dr]

Не заметил сразу. В карантин не попал C:\Documents and Settings\Ilya\Application Data\m\flec006.exe

Найдите его через АВЗ и пришлите.

И повторите после всего логи.

[anton_dr]

Как и ожидалось -

aodshext.dll, nutsrv4.exe_

Вредоносный код в файлах не обнаружен.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\ilya\\application data\\hidires\\hidr.exe - Email-Worm.Win32.Bagle.hz (DrWEB: Trojan.AVKill.253)
  2. c:\\documents and settings\\ilya\\application data\\hidires\\m_hook.sys - Email-Worm.Win32.Bagle.hj (DrWEB: Trojan.NtRootKit.207)
  3. c:\\windows\\system32\\hldrrr.exe - Trojan-Downloader.Win32.Bagle.bh (DrWEB: Win32.HLLM.Beagle)
  4. c:\\windows\\system32\\wintems.exe - Trojan-Downloader.Win32.Bagle.br (DrWEB: Win32.HLLM.Beagle)