плавающий входящий трафик-2

[Boriasik]

старая тема вот http://virusinfo.info/showthread.php?t=84753 - помечена как вылечено.
Но сегодня снова началось. При подключении к интернет появляются ошибки типа приложение 879.exe выполнило недопустимую операцию и будет закрыто. отправить отчет не отправить.
логи прилагаю.

[Boriasik]

Так же при подключении к интернет вот сейчас наблюдаю активность входящих данных.

[polword]

Но сегодня снова началось.

Platform: Windows XP SP2 (WinNT 5.01.2600)

- удивительно нет

Добавлено через 4 минуты

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Виктория\ctfmon.exe','');
 QuarantineFile('C:\WINDOWS\System32\soqjholvs.exe','');
 QuarantineFile('C:\Documents and Settings\Виктория\soqjholvs.exe','');
 QuarantineFile('C:\Documents and Settings\Виктория\msgvn.exe','');
  QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk50.sys','');
 DeleteService('Winfk50');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 DeleteService('tcpsr');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfk50.sys');
 DeleteFile('C:\Documents and Settings\Виктория\msgvn.exe');
 DeleteFile('C:\Documents and Settings\Виктория\soqjholvs.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','soqjholvs');
 DeleteFile('C:\WINDOWS\System32\soqjholvs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','soqjholvs');
 DeleteFile('C:\Documents and Settings\Виктория\ctfmon.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('Winfk50');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

[Boriasik]

неудивительно конечно, однако вот уж второй день качаются обновления с сайта microsoft и все никак не докачаются.

[polword]

однако вот уж второй день качаются обновления с сайта microsoft и все никак не докачаются.

не успели однако....
После лечения будете пытаться снова...

[Boriasik]

quarantine.zip загрузил по ссылке сверху шапки темы
логи прикрепил
MBAM отработал, лог также прицепил

[polword]

1. восстановите файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.

2. Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Web\utils\start.exe','');
 QuarantineFile('C:\Web\utils\stop.exe','');
 QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ntndis.sys','');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

3. удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{f710fa10-2031-3106-8872-93a2b5c5c620} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Гость\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\blphctefj0e71v.scr (Pup.FakeBlueScreen) -> No action taken.
C:\Documents and Settings\Гость\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Гость\Application Data\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Гость\Application Data\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\fci.exe.exe (Worm.Zhelatin) -> No action taken.
C:\WINDOWS\system32\icf.exe.exe (Worm.Zhelatin) -> No action taken.
C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.

- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте повторные лог MBAM

[Boriasik]

После скрипта и удаления в MBAM, все нормализовалось, вот уже несколько дней все спокойно.

Обновления все установил, на днях думаю скриптом проверить, наличие неустановленных апдейтов и доставить их в ручную

Большое спасибо.

p.s. Stop и Start - файлы небольшой программки по недвижимости. Остальный два файла *.sys проверил онлайн касперским - чистые

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\виктория\\ctfmon.exe - P2P-Worm.Win32.Palevo.alho ( DrWEB: Trojan.Packed.20312, BitDefender: Worm.Generic.257958, AVAST4: Win32:Crumpache [Cryp] )
  2. c:\\documents and settings\\виктория\\msgvn.exe - P2P-Worm.Win32.Palevo.atba ( DrWEB: Trojan.Packed.21552, BitDefender: Win32.Worm.Rimecud.Y, NOD32: Win32/Peerfrag.IB worm, AVAST4: Win32:MalOb-CS [Cryp] )
  3. c:\\documents and settings\\виктория\\soqjholvs.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Proxy.14858, BitDefender: Gen:Variant.Kazy.43, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:Ursnif-D [Spy] )
  4. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
  5. c:\\windows\\system32\\soqjholvs.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Proxy.14858, BitDefender: Gen:Variant.Kazy.43, NOD32: Win32/Wigon.KQ trojan, AVAST4: Win32:Ursnif-D [Spy] )