При проверке трояна виснут антивирусы и AVZ

[borbesk]

Доброго дня уважаемому экспертному сообществу!

Антивирус (Нортон) при подключении компа к И-нету постоянно сигнализирует о том, что кто-то пытается отправлять спам по куче е-мэйл-алресов через почтовую программу (я ей, впрочем, не пользуюсь).

Как Нортон, так и AVPtool при проверке системы или папок зависают, как правило - при проверке WINDOWS\System32. Та же участь постигает AVZ, зависает наглухо в самом-самом конце выполнения первого требуемого согласно Правил стандартного скрипта, при проверке:
C:\WINDOWS\System32\dllcache\apps.chm/{CHM}//idh_w2_52004.htm

При попытке выполнить второй скрипт тоже зависает.

Поэтому приложить могу лишь лог проверки Hijack-ом.

В папке "Автозагрузка" -куча "левых" exe-шников, ЕМНИП, все одного размера, свободно удаляются вручную - но по ходу времени воспроизводятся (каждый раз, кажется, под новыми именами).

В папке C:\Documents and Settings\1\Application Data ("1" - это, соответственно, имя пользователя) лежит файл juzjf.exe, его удается "отложенно удалить" при помощи AVZ, но потом он снова появляется.

В папке C:\Documents and Settings\1 и в C:\WINDOWS\System32 лежит файл jyfliflaЋ.exe (на 100% насчет последнего символа не уверен, переписываю на другом компе с бумажки; в общем, кажется, это сербское "Ч"), удаляется вручную свободно, но потом снова воспроизводится.

В папке C:\WINDOWS\System32\ лежат также три файла со свежей датой: uti3otqy.sys (ЕМНИП, знакомое имячко, уже как-то боролся с таким), ndis.sys и chqzuvmz.sys

В папке C:\Documents and Settings\1\Local Settings\Temp несколько явно "левых" exe-шников, AVZ пока работает, их видит и опознает как опасные.

Проверку папки C:\Documents and Settings\1 при помощи AVZ выполнить удалось, если надо, могу разместить тут протокол.

Случай, как я понимаю, тяжелый, но надеюсь на удачу и заранее благодарю.

[polword]

- сделайте лог Combofix

[borbesk]

Тоже не пошло. После 17 пункта задумывается надолго...

[polword]

1.Профиксите в HijackThis

Код:

O4 - HKLM\..\Run: [jyflifvaЋ] C:\WINDOWS\System32\jyflifvaЋ.exe
O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\1\LOCALS~1\Temp\2963.exe
O4 - HKCU\..\Run: [jyflifvaЋ] C:\Documents and Settings\1\jyflifvaЋ.exe

- попробуйте сделать логи таким AVZ

[borbesk]

Нет, по-прежнему логи делает только HijackThis.

Разместить его свежий лог?

[polword]

попробуйте сделать лог Combofix в безопасном режиме

[borbesk]

попробуйте сделать лог Combofix в безопасном режиме

Прошу прощения за задержку.
Удалось, прилагаю лог.

[thyrex]

c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys

Замените файлы с дистрибутива http://virusinfo.info/showthread.php?t=51654

c:\windows\System32\drivers\beep.sys восстановите по той же инструкции

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\drivers\chqzuvmz.sys
c:\program files\Common Files\Files.rar
c:\program files\Common Files\ajuzaju.scr
c:\program files\Common Files\fyvot.bat

Driver::
chqzuvmz

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[borbesk]

Системные файлы заменить не удается. Правда, перед этим при входе в консоль восстановления и пароль администратора не спрашивают.

Скрипт ComboFix-а все равно выполнить или как ?

[thyrex]

Не заменив файлы, продолжать лечение бессмысленно

[borbesk]

Попытаюсь разобраться еще раз.

[borbesk]

Снял опцию "автоматически входить с правами администратора в консоль восстановления" - чтоб уж наверняка. Ввел пароль администратора, все по инструкции... но заменить системные файлы все равно не удается. Отказывается, и все тут - "0 файлов распаковано" (у меня на дтстрибутиве они " *.sy_ ")... Дистрибутив тот, точно.

Можно ли еще что-нибудь сделать - или это уже все?

[thyrex]

Попробовать это сделать с какого-либо LiveCD

[borbesk]

С Live CD требуемые системные файлы распаковались-заменились.

Требуемый скрипт Combofix выполнил снова только в безопасном режиме.

[polword]

- Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[borbesk]

Выполнил, выкладываю.

[polword]

- Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Поставте все последние обновления системы Windows - тут

[borbesk]

Карантин загружен. Ввел пароль "virus", как там было написано.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\002.exe');
 DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\243.exe');
 DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\381.exe');
 DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\466.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\485.exe');
  DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\631.exe');
 DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\899.exe');
 DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\997.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\g9c1yuupgg.exe');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\hcc6ou70vrm.exe');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\oojffbrr.exe');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\pa6hm3oo.exe');
DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\vlbc70dzuu6.exe');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\zzvllhxx.exe');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\6kk6bc7.exe');
 DeleteFileMask('C:\Documents and Settings\1\Local Settings\Temp', '*.*', true);
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог MBAM

[borbesk]

Опцию "удалить зараженные файлы" я не выбирал. Правильно?
Среди зараженных файлов - элемент карантина из одной из летних проверок AVZ...