Пропадает интернет, подозрение на троян

[koba]

Здравствуйте. Поймал на просторах бяку. Касперский 6.0 определил - Trojan.Win32.Vilsel.aobu , Trojan.Win32.Swisyn.akze, Trojan-Dropper.Win32.Microjoin.jse.
После продолжительной борьбы антивирус угомонился, но постоянно происходит какой то обмен данными с интернетом, судя по лампочкам в трее и по "тормозам" работы браузеров. Спустя некоторое время интернет пропадает. Хром отказывается запускаться аргументируя что отсутствует IPHLPAPI.DLL не найден, и требует переустановить браузер. Команда ping неработает. После перезагрузки все начинается по кругу.
Рассчитываю на вашу помощь.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  QuarantineFile('C:\WINDOWS\System32\ldsasclib.dll','');
 DeleteService('MediaCqwqqs');
 QuarantineFile('MediaCqwqqs.sys','');
 QuarantineFile('C:\WINDOWS\system32\idsasvstart.dll','');
 DeleteFile('C:\WINDOWS\system32\idsasvstart.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
 DeleteFile('MediaCqwqqs.sys');
 DeleteFile('C:\WINDOWS\System32\ldsasclib.dll');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteFile('MediaCqwqqs.sys');
 BC_DeleteSvc('MediaCqwqqs');
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- сделайте лог Combofix

[koba]

Сделал лог ComboFix-ом, карантин отправил.
После перезагрузки от AVZ, выскакивало окно IE что он не является браузером по умолчанию, хотя я его не запускал. После ComboFIx тишина.
Вроде как полегчало компьютеру, в ожидании ответа.

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::
IdsSrv

NetSvc::

Folder::
c:\windows\system32\WCDZNCZA
c:\windows\system32\2LE8Y2M8
c:\windows\system32\X72YI71C
c:\windows\system32\LAK3OXKZ
c:\windows\system32\77OOUXSW
c:\windows\system32\UWTWMXVV
C:\FOUND.001
c:\windows\system32\SQFYBND0
c:\windows\system32\PNQ7YKJP
c:\windows\system32\O61QV1XK
c:\windows\system32\6HRV37BD
c:\windows\system32\SDV1ZNB5
c:\windows\system32\GWZI4MI6
c:\windows\system32\FXHB0L46
c:\windows\system32\FZXI8408
c:\windows\system32\F1EOHPVC
c:\windows\system32\F3UVPAQE
c:\windows\system32\FIUS8YOE
c:\windows\system32\FKBZGIJG
c:\windows\system32\7GWIFC67
c:\windows\system32\6KN2JH1J
c:\windows\system32\6FVBM300
c:\windows\system32\6PJNHYTK
c:\windows\system32\4GHJ8FL7
c:\windows\system32\R4B7ZYVV
c:\windows\system32\ROX321ZJ
c:\windows\system32\RWF1XNPK
c:\windows\system32\QNFIOFEF
c:\windows\system32\Q62ESII2
c:\windows\system32\QMK47531
c:\windows\system32\Q560C86Q
c:\windows\system32\QTEHTTB8
c:\windows\system32\P4CMVZWD
c:\windows\system32\PT8OGUGF
c:\windows\system32\P6A7OX5C
c:\windows\system32\PUUH74Z4
c:\windows\system32\OJ1YPP3O
c:\windows\system32\OUCWTJF0
c:\windows\system32\O2SUN441
c:\windows\system32\O168E6M7
c:\windows\system32\OQDQVRQR
c:\windows\system32\N4UGCFCQ
c:\windows\system32\NSO4RCQ0
c:\windows\system32\N52G1255
c:\windows\system32\NFW6XBMG
c:\windows\system32\MWX3GUZ7
c:\windows\system32\MGYSLLS4
c:\windows\system32\MDI72GQZ
c:\windows\system32\MN2K2YLT
c:\windows\system32\MBA1KJPD
c:\windows\system32\L6HOYQWX
c:\windows\system32\L2OBDY3I
c:\windows\system32\LEY7HREU
c:\windows\system32\LL1EAQFM
c:\windows\system32\LK2ZY46J
c:\windows\system32\KKT6RTEY
c:\windows\system32\KB6GK8S3
c:\windows\system32\KXOCXJH4
c:\windows\system32\KIO038B1
c:\windows\system32\KUCR8PBO
c:\windows\system32\J8GONP6E
c:\windows\system32\JDQGUVEP
c:\windows\system32\J34PNBSU
c:\windows\system32\J3VWGZ0B
c:\windows\system32\I1JQ2R2X
c:\windows\system32\IE6H872K
c:\windows\system32\IAQVQ1ZF
c:\windows\system32\IAH3JR7V
c:\windows\system32\IXOK0CBE
c:\windows\system32\HW2YRDTL
c:\windows\system32\HGD2ST6Z
c:\windows\system32\HJA1XDP1
c:\windows\system32\HQE7PBPS
c:\windows\system32\HMKU3JWD
c:\windows\system32\HLY8UKEJ
c:\windows\system32\G8SWAIST
c:\windows\system32\G8J426ZA
c:\windows\system32\G7ACVV7P
c:\windows\system32\G70JOKF5
c:\windows\system32\GRBMP0SK
c:\windows\system32\F2LKTT3W
c:\windows\system32\FMVNVAIB
c:\windows\system32\F8DJ8K5B
c:\windows\system32\FJAOBQRF
c:\windows\system32\FVKMFJ2R
c:\windows\system32\E5IRHPNU
c:\windows\system32\EQ4NKSRJ
c:\windows\system32\E02SMYCM
c:\windows\system32\E85XEXDD
c:\windows\system32\EK32G3XG
c:\windows\system32\DJUB8S4W
c:\windows\system32\DJLI1HDD
c:\windows\system32\DUVG5BNP
c:\windows\system32\D55DA3Y2
c:\windows\system32\DTZ1P1CC
c:\windows\system32\C3KEPK75
c:\windows\system32\CPOH076W
c:\windows\system32\CABD4BAK
c:\windows\system32\CK8I6HVN
c:\windows\system32\C3JL7WA1
c:\windows\system32\C3ML286R
c:\windows\system32\BRHAI6L1
c:\windows\system32\BEX5VHA1
c:\windows\system32\BDBKMIR7
c:\windows\system32\B0571G5I
c:\windows\system32\BNM3FQTI
c:\windows\system32\A6W6G67W
c:\windows\system32\ATQVV3M5
c:\windows\system32\AT3AM53C
c:\windows\system32\A4F7QYFP
c:\windows\system32\AO13U1ID
c:\windows\system32\8O53OEG2
c:\windows\system32\81KGY3V8
c:\windows\system32\8PQWGOZS
c:\windows\system32\801UKIB5
c:\windows\system32\8DCSOBLI
c:\windows\system32\70J85VP1

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"IdsSrv"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[koba]

Сделано

[koba]

IE скрыто проявляет себя сообщением что он не главный браузер

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\Antideqnb.exe
c:\windows\system32\drivers\tcpz-x86d.sys

Driver::
TCPZ

NetSvc::

Folder::
c:\windows\system32\N1QVD80Q
c:\windows\system32\70AHYKWI
c:\windows\system32\7B6M0QIL
c:\windows\system32\7UUI3TL8
c:\windows\system32\7REXLOI3
c:\windows\system32\7ZI2DNJU
c:\windows\system32\6J5YGQNI
c:\windows\system32\67201L5L
c:\windows\system32\64Z8K2TP
c:\windows\system32\6RH4XDHP
c:\windows\system32\60X2SY7P
c:\windows\system32\5E105Y2F
c:\windows\system32\5SS4IC8U
c:\windows\system32\5TNQHYL3
c:\windows\system32\4T442C0Z
c:\windows\system32\4DV00R1E
c:\windows\system32\4KZSH4T1
c:\windows\system32\3DU8J328
c:\windows\system32\3LPL3RBH
c:\windows\system32\30ACEQT5
c:\windows\system32\2KOFBJ48
c:\windows\system32\20MCYQLB
c:\windows\system32\27Q3F3DY
c:\windows\system32\11KJH3M6
c:\windows\system32\1XV5QMRH
c:\windows\system32\1FJNI4M1
c:\windows\system32\ZDWVGXX0
c:\windows\system32\ZQWFO0OX
c:\windows\system32\ZQE7LZBW
c:\windows\system32\ZGO28HK8
c:\windows\system32\ZIIO73XI
c:\windows\system32\YIZH32KI
c:\windows\system32\YXH6KQ4G
c:\windows\system32\YCXW0DQF
c:\windows\system32\YQP1DRWU
c:\windows\system32\XKJHEQ52
c:\windows\system32\XEQPHC4K
c:\windows\system32\XTL7ZMGS
c:\windows\system32\WNSH28FA
c:\windows\system32\WTKGIZIO
c:\windows\system32\W47SDUA7
c:\windows\system32\V3L63WRF
c:\windows\system32\VTW1QE0R
c:\windows\system32\VPGH77XL
c:\windows\system32\VLN3MG45
c:\windows\system32\VWBUSV5S
c:\windows\system32\U77ZU1RV
c:\windows\system32\U7Y6NRYC
c:\windows\system32\USCOU3HJ
c:\windows\system32\UHWXECBC
c:\windows\system32\U1WMJ14A
c:\windows\system32\TD7KNVGM
c:\windows\system32\TWINPBT0
c:\windows\system32\T7SLT44E
c:\windows\system32\TUMA81JN
c:\windows\system32\T3272N8O
c:\windows\system32\SG3RBRZK
c:\windows\system32\SPKP4DPL
c:\windows\system32\SNLCTRHI
c:\windows\system32\SNPCO3E7
c:\windows\system32\S2513RZ6
c:\windows\system32\R5308AI8
c:\windows\system32\RN1XXIXA
c:\windows\system32\RKY5GZKE
c:\windows\system32\RMJCIVD6
c:\windows\system32\QH3EO41X
c:\windows\system32\QVK33SNW
c:\windows\system32\QWO3Y3KM
c:\windows\system32\Q8PM67AJ
c:\windows\system32\PH5L0T0J
c:\windows\system32\PHWSTI7Z
c:\windows\system32\P8B1NWM4
c:\windows\system32\PG5E7KUC
c:\windows\system32\ODTTJROW
c:\windows\system32\O362D521
c:\windows\system32\N8YNHBXD
c:\windows\system32\NGT01Y4K
c:\windows\system32\N6UHSQTG
c:\windows\system32\MPIZL8P0
c:\windows\system32\M3QWTLIF
c:\windows\system32\LK178UGN
c:\windows\system32\LTM5XS3E
c:\windows\system32\LH6GHZX6
c:\windows\system32\KY3D47D8
c:\windows\system32\K34QGO03
c:\windows\system32\KZGDP64E
c:\windows\system32\J3Q4WDCP
c:\windows\system32\JFEV2TDC
c:\windows\system32\JN48S5NT
c:\windows\system32\J6S4V8RH
c:\windows\system32\J55JMA8O
c:\windows\system32\JTDZ3UD7
c:\windows\system32\ID0W6XHV
c:\windows\system32\I17DOILF
c:\windows\system32\IAOBJ4BF
c:\windows\system32\IUO0OU4D
c:\windows\system32\I2S5GT43
c:\windows\system32\INSULJY1
c:\windows\system32\HXQZNPJ4
c:\windows\system32\HUAF4KGY
c:\windows\system32\HHRBIU4Z
c:\windows\system32\HCXWW1CK
c:\windows\system32\HNV1Y7XN
c:\windows\system32\HUMFOK74
c:\windows\system32\GFM3UA11
c:\windows\system32\GB6JB4YW
c:\windows\system32\G6D5PC5H
c:\windows\system32\G3XL562B
c:\windows\system32\GEUQ7DOF
c:\windows\system32\GL7AW18M
c:\windows\system32\GSYNMDJ3
c:\windows\system32\F3WSOJ46
c:\windows\system32\FF6QSCFK
c:\windows\system32\F2E6AWJ3
c:\windows\system32\FEBCC246
c:\windows\system32\FDOQ24MD
c:\windows\system32\EWCN57Q0
c:\windows\system32\E6WZ6QLU

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[koba]

выполнено. IE выскакивает.

[polword]

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

После обновления:
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- сделайте лог Combofix

[koba]

Ушел обновляться.

[thyrex]

C:\360Geywt.exe удалите

[koba]

C:\360Geywt.exe удалите

Я его глазами ни разу не видел, только по сообщению Каспера узнаю что он появляется.
Обновил все что можно. Подвисать интернет перестал, но это еще вчера произошло, после запуска скриптов.
Через пару часов смогу сделать логи AVZ и ComboFix-а, раньше не получится к сожалению, утро напряженное.

Благодарен за помощь

[polword]

делайте, ждем логов

[koba]

Сделал.
Что то Комбофикс отказался в тексте грузиться на сайт - зазиповал.

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

NetSvc::

Folder::
c:\windows\system32\EIT48W5Y
c:\windows\system32\EPKHY8HF
c:\windows\system32\EZ4TYRC8
c:\windows\system32\EK4I3I56
c:\windows\system32\DRVVUTGO
c:\windows\system32\DECR734O
c:\windows\system32\DAJEMCC8
c:\windows\system32\DAALF0JP
c:\windows\system32\DA0S7PR4
c:\windows\system32\CWIOLZF5
c:\windows\system32\CROAZ6NQ
c:\windows\system32\CNVWEEUB
c:\windows\system32\CNM4631Q
c:\windows\system32\CV321PRR
c:\windows\system32\CRAPGWYC
c:\windows\system32\BY0158AT
c:\windows\system32\BMUQL5N3
c:\windows\system32\BAPF031D
c:\windows\system32\BSZI2JGR
c:\windows\system32\BRZ3RY7O
c:\windows\system32\BFTS6VMX
c:\windows\system32\AQ3QBOWB
c:\windows\system32\A01VDUIE
c:\windows\system32\ANIQQ56E
c:\windows\system32\AN8XJUEU
c:\windows\system32\AMNDAVV0
c:\windows\system32\86A8DYZO
c:\windows\system32\84BU1ERL
c:\windows\system32\8OLY2T5Z
c:\windows\system32\8B1TG3UZ
c:\windows\system32\8J5Z82UR
c:\windows\system32\8IJEZ4CX
c:\windows\system32\7IALSTJE
c:\windows\system32\7HOZJV0K
c:\windows\system32\7OR5BU1B
c:\windows\system32\7LCLROY5
c:\windows\system32\76FN2CXW
c:\windows\system32\68A81YA4
c:\windows\system32\6TNQ8BTC
c:\windows\system32\6RBKV2VZ
c:\windows\system32\6JOTPIA4
c:\windows\system32\68YODZJH
c:\windows\system32\5YMC14I2
c:\windows\system32\5YQCWGFT
c:\windows\system32\5UXYCNME
c:\windows\system32\5UO54DTT
c:\windows\system32\5EC17GXI
c:\windows\system32\42WBRNRB
c:\windows\system32\4PQZ6L5K
c:\windows\system32\4MAFNF2F
c:\windows\system32\4LOTEHKL
c:\windows\system32\4K174J1R
c:\windows\system32\3RSLUUD8
c:\windows\system32\3OPTECZD
c:\windows\system32\3LA7U6W7
c:\windows\system32\3SZLKI6P
c:\windows\system32\32KXK11I
c:\windows\system32\3EUVOUDV
c:\windows\system32\2D7AFWU1
c:\windows\system32\2MP89IL2
c:\windows\system32\2HWUOPSN
c:\windows\system32\2PM7E124
c:\windows\system32\28NWJRW2
c:\windows\system32\280BATE8
c:\windows\system32\1RBFCASN
c:\windows\system32\127KEGDQ
c:\windows\system32\1EJII8O3
c:\windows\system32\1DJ36NG0
c:\windows\system32\1WKSCE8X
c:\windows\system32\ZRT8SO70
c:\windows\system32\ZRX8N04Q
Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[koba]

Сделано

[koba]

Трям! В логах чисто?

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

Folder::
c:\windows\system32\Z4YRV3UN
c:\windows\system32\ZOMNY6YB
c:\windows\system32\ZLJVHOLF
c:\windows\system32\Z45RLRP2
c:\windows\system32\Y2TL7JRP
c:\windows\system32\YO62FWBW
c:\windows\system32\YRIUM2I8
c:\windows\system32\YJ8WH4MN
c:\windows\system32\XU51JB7R
c:\windows\system32\X2A6B87I
c:\windows\system32\XMX3FCC5
c:\windows\system32\XARRUAQG
c:\windows\system32\XWLGA73P
c:\windows\system32\XH8CDB7D
c:\windows\system32\WC25PUPO
c:\windows\system32\WJTJG605
c:\windows\system32\WIT44LS2
c:\windows\system32\W4NSKJ6C
c:\windows\system32\WPBPNMAZ
c:\windows\system32\WOO3ENR6
c:\windows\system32\VLMCW5EB
c:\windows\system32\VHSYCDMV
c:\windows\system32\VRDBCVHP
c:\windows\system32\VE6YRTVY
c:\windows\system32\VMB4JSVP
c:\windows\system32\VT1H8366
c:\windows\system32\U5P7FK6T
c:\windows\system32\UPZBG0L7
c:\windows\system32\U8AFIGYM
c:\windows\system32\UGZR7SA3
c:\windows\system32\UZNNBVDR
c:\windows\system32\UJXRDBR5
c:\windows\system32\UR1W4ASW
c:\windows\system32\TEVLK756
c:\windows\system32\T1P8Z4KG
c:\windows\system32\TATFR3L6
c:\windows\system32\TS3ITKYL
c:\windows\system32\TCDLUZDZ
c:\windows\system32\TNBQW5X2
c:\windows\system32\SYLO0Y8G
c:\windows\system32\SI8L32D3
c:\windows\system32\SQYXUENL
c:\windows\system32\SDGT7OCL
c:\windows\system32\S0NAP8G4
c:\windows\system32\RXKI7Q28
c:\windows\system32\R5ONZP2Z
c:\windows\system32\R4FVSEAG
c:\windows\system32\RGC0UKVJ
c:\windows\system32\RRMXYD5W
c:\windows\system32\R2XV26H8
c:\windows\system32\QB01U5H0
c:\windows\system32\QV1Q0VBX
c:\windows\system32\QJ86IGFH
c:\windows\system32\QHJ72KRU
c:\windows\system32\QTJRBOIR
c:\windows\system32\P1NW2NII
c:\windows\system32\PX6CJHFC
c:\windows\system32\PTRRZCC6
c:\windows\system32\P1UWSBDX
c:\windows\system32\PDS1UHX0
c:\windows\system32\PZ8X7RM0
c:\windows\system32\O7D2ZQMS
c:\windows\system32\OR0Y2TQG
c:\windows\system32\ON6LI0X0
c:\windows\system32\OIE7W74L
c:\windows\system32\OTBDYEPO
c:\windows\system32\O1FJQDQG
c:\windows\system32\OLPMSS4T
c:\windows\system32\N4DIVV7I
c:\windows\system32\N3QWMXPO
c:\windows\system32\N3H4FMX4

Registry::

FileLook::

DirLook::
c:\windows\system32\MiAcredosoft

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[koba]

Приветствую. Посмотрев куда вы бьете, я вчера почистил папку систем32 от нагенеренных папок - пустые, пропустил только MiAcredosoft, но сейчас ее руками прибил - пустая. "Новых левых" папок не появилось после рестарта. Каспер молчит второй день, сам тоже ничего не замечаю тревожного. Отчет КомбоФикса прилагаю.

[polword]

- Удалите ComboFix