И снова msvmiode.exe, ltzqai.exe, oekx.exe, qwdrive32.exe и вся их семейка!

[Ivart]

Здравствуйте уважаемые участники проекта!

Я работаю председателем правления небольшого ТСЖ. У нас 2 компа, объединенные в локальную сеть. До недавнего времени интернет был подключен через DSL модем и не было никаких проблем. Но вот спонсоры (Информсвязь-Черноземье) провели нам оптоволоконный кабель. И началось! Локалка у меня организована через Свич, к нему же подключили и кабель доступа к провайдеру, соответственно выход в инет настроен только у одного компа. Вот у этого компьютера и начались проблемы, другой компьютер "чистый".

После подключения VPN соединения: антивирус сразу же стал выдавать сообщения о наличии зловредов в системе, при загрузке компьютера автоматом открывается папка "Мои документы", через некоторое время появляется сообщение: "svchost.exe Ошибка приложения. Инструкция по адресу 0х001f1cb0 обратилась по адресу 0х48544950. Память не может быть read." Предлагается завершить приложение или отладить его. При любом варианте пропадает как локальная сеть, так и доступ в интернет. Для того чтобы продолжить работу приходится просто не обращать внимание на это сообщение, а табличку задвинуть куда-нить, чтобы не мешалась. Кроме того резко возрос трафик, особенно исходящий.

На компе установлены 1С бух, клиент банка, программы бух отчетности, имеются персональные данные населения. Поэтому понятна моя озабоченность возникшими проблемами. ТСЖ очень не богатая организация, мы не можем позволить себе затраты на дорогостоящее лицензионное программное обеспечение. Обслуживанием и настройкой компьютеров занимаюсь сам на безвозмездной основе. Когда был DSL доступ в инет с защитой справлялись бесплатные Avast и Comodo. Сейчас установил NOD-32.

Ранее с проблемами и домашнего компьютера и офисных всегда справлялся сам: поГуглю, выясню какие виры появились в системе, убью процессы в диспетчере задач, поиском и Total Commander-ом найду зловредов и удалю их, почищу реестр. Всегда помогало. Но в этот раз все напрасно! То ли виры стали умнее, то ли я тупее? После очистки компа и антивирами, и ручным способом, и перезагрузки его, зловреды появляются вновь. Самое странное, что не могу удалить измененные параметры Winlogon в реестре. Исправляю параметр, прописываю один Explorer, открываю снова, а там опять вся семейка зловредов прописана.

Вот кто мне досаждает:
msvmiode.exe
qwdrive32.exe
ltzqai.exe
svmgr.exe
csidrv.exe
csisd.exe
winmap.exe
xtwtaf.exe
systm.exe
oekx.exe

а также куча номерных экзешников в C:\WINDOWS\system32,
и все время разные зловреды в Temporary Internet Files.

Обновить базу AVZ не удалось: при нескольких попытках всегда появлялась ошибка - видимо кто-то из зловредов блокирует это обновление (на домашнем компе обновление прошло без проблем).

Уважаемые Хелперы, прошу вас о помощи!

[olejah]

Здравствуйте

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\gwdrive32.exe');
 QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\84071.exe','');
 QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\9863181.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe','');
 QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
 QuarantineFile('C:\Documents and Settings\Ирина\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Ирина\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\gwdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1417\systm.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnawy');
 DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\9863181.exe');
 DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\84071.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced EHTAL Enable');  
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(20);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Обновите базы АВЗ

- Повторите логи

- Надо срочно обновлять систему, иначе не избавимся от этого вирья.

[Ivart]

Огромное спасибо за то, что отозвались на мою просьбу о помощи!

1. Обновил базы АВЗ
2. Выполнил предложенные скрипты
3. Отправил запрошенный файл карантина
4. Включил обновление системы
5. Загрузил и установил обновления системы
6. Отключил интернет и локальную сеть
7. Почистил комп вручную
8. Почистил антивирусом NOD32
9. Почистил утилитой Dr Web CureIt
10. Проверил реестр. Записей, ссылающихся на опасные объекты нет.
11. Проверил автозагрузку и диспетчр задач, проверил системные папки.
12. Система работает нормально.
13. Сделал логи без сети.
14. Перезагрузился.
15. Подключил сеть. Сразу же появилось сообщение об ошибке Svchost.
16. Сделал логи с сетью.
17. Старых зловредов не вижу. Однако беспокоит ошибка приложения Svchost. Вернее само сообщение об ошибке, так как приложение работает штатно, если не реагировать на сообщение. Как только выбирается какое то решение из предложенных в сообщении, сеть блокируется, а иногда даже и компьютер зависает.
18. Окончательные логи прилагаю.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\gwdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Установите IE 8 - даже если Вы им не пользуетесь.

- Повторите логи АВЗ

[thyrex]

А также

Сделайте лог полного сканирования МВАМ

[Ivart]

Уважаемые хэлперы! Еще раз огромная благодарность за вашу помощь!

Выполнил все ваши указания. Прилагаю логи. Кроме того установил еще около сотни обновлений винды. Установил IE-8.

Сейчас система работает без сбоев, стабильно.

Единственно что беспокоит: упоминание о gwdrive32 в автозагрузке и в реестре. Прилагаю скрины. В автозагрузке я его отключил, но не смог удалить эту запись.

[olejah]

Удалите в МВАМ

Код:

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Заражённые файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0ISVS2PK\naar[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\638BCIW7\nails[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\J95D9CLP\lugb[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\J95D9CLP\mobile[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Ирина\local settings\temporary internet files\Content.IE5\0G6E2IXE\a1[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Ирина\local settings\temporary internet files\Content.IE5\6PPUFKW3\bf95dhd[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Ирина\local settings\temporary internet files\Content.IE5\F60CRR5D\bf96dhd[1].exe (Trojan.Agent) -> No action taken.

- Повторите лог МВАМ

[Ivart]

Удалил указанные Вами файлы. Новый лог прилагаю.

[olejah]

Подозрительного больше нет. Что с проблемой?

[Ivart]

Благодарю за помощь. Сейчас проблем нет. Система работает без ошибок. Трафик нормализовался.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\ирина\\application data\\ltzqai.exe - Packed.Win32.Krap.ig ( DrWEB: Win32.HLLW.Recycler.6, BitDefender: Trojan.Generic.5267255, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
  2. c:\\windows\\gwdrive32.exe - Trojan.Win32.VBKrypt.ahvj ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.Bot.133216, AVAST4: Win32:Dropper-gen [Drp] )