Миллионы троянов и что-то ещё.

[andrelik]

Всем добрый день (уже вечер наверное).
Решил проверить комп на вирусы, оказался полный букет, + мозилла глючить начала страшно...
Прошу помочь с проверкой.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\cfdrive32.exe');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
 QuarantineFile('C:\Documents and Settings\Ayanami\Application Data\oekx.exe','');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
 DeleteFile('C:\Documents and Settings\Ayanami\Application Data\oekx.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteWizard('SCU',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[andrelik]

Карантин - 101020_051219_quarantine_4cbe41f3726a1.zip
Ещё вот у мну много каких-то перехватчиков КИСТ, это нормально? Это случаемне кейлоггеры?

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');  
 DeleteFile('C:\Documents and Settings\Ayanami\Application Data\oekx.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повоторите лог virusinfo_syscure.zip

[andrelik]

101020_112536_quarantine2_4cbe997087af6.zip - Карантин
Логи.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ в безопасном режиме -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Documents and Settings\Ayanami\Application Data\oekx.exe');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Повоторите лог virusinfo_syscure.zip

[andrelik]

Вотъ.
Хотя всё-равно какие-то красные надписи идут
А ещё вот такой штука появилась в Моём компьютере после фикса и перезагрузки (в безопасном режиме делал).

[olejah]

В логе чисто. Что с проблемой?

[andrelik]

ДА вот чёрт его знает. Когда захожу в Мой компутер, все значки накладываются друг на друга прямо. Тыкаешь на один, он высвечивается, тыкаешь сбоку, это затеняется, на него накладывается значок и надписи СД-рома к примеру и т.д.
Такая штука только в Моём компутере. Больше нигде.
Пробовал ребут, всё также

[миднайт]

В AVZ выполните скрипт:

Код:

begin
ExecuteRepair(8);
RebootWindows(true);
end.

Что теперь с проблемой?

[andrelik]

Ой, добрый вечер. Наконец-то вернулся с командировки. Заходил пока ездил сюда, приехал домой и попробовал.
Всё стало красиво.
Огромное спасибо
Но вот появилось одно но.
Пока был далеко, наведовались ко мне родственники, а так как комп работает 24/7, поскачивали фильмов всяких и вот когда я сегодня утром приехал, у мну была заблокирована Винда, Мозилла наотрез отказывалась включаться, а АВЗ просил вставить диск...
Узнал у родственников, буквально несколько часов назад у них перестала грузиться также мозилла, все ехе-шные файлы при открытии сразу закрывались. А вот пол-часа назад винда просто перестала грузиться...
Страшно
Прошу ещё раз взглянуть на логи, вдруг я от них что-нить подцепил или может сам из сети за 2 недели непрерывного террента чего-нить нахватал.

Заранее спасибо

[olejah]

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Надо бы базы обновить.

[andrelik]

Ой, даже внимания не обратил на то, что базы устарели.
Скидываю новые логи, появилось какое-то подозрение на трояна, хотя утром таких строчек небыло.

[миднайт]

Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\ayanami\\application data\\oekx.exe - Trojan.Win32.Buzus.eubs ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4720968, NOD32: Win32/Inject.NDR trojan, AVAST4: Win32:Trojan-gen )