вирус soft.jajaca.com/lib.zip

[Vla-luka]

Касперский ругаеться на вирус soft.jajaca.com/lib.zip еще процессы h001.exe h002.exe и в таком роде, читал на форуме у кого-то была такая же проблема...

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\waivaprnlib.dll','');
 QuarantineFile('C:\WINDOWS\system32\05.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mtgfln.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\mtgfln.sys');
 DeleteFile('C:\WINDOWS\system32\05.tmp');
 DeleteFile('C:\WINDOWS\system32\waivaprnlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvcReg('WaivSvc');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=96458).
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).

[Vla-luka]

новый syschek

[Vla-luka]

компьютер кстати сам не перезагрузился

[Bratez]

Скрипт как будто и не выполняли...
Выполните его в безопасном режиме.
После перезагрузки сделайте лог еще раз.

[Vla-luka]

теперь уже утром, это рабочая лошадка главбуха, в 9-00 попробую, спасиба логи выложу

[thyrex]

А также

Сделайте лог ComboFix

[Vla-luka]

Avz в безопасном режиме опять не перезагрузила комп, вылезла ошибка "Invalid data type for 'DllName'",

[Bratez]

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Все понятно. Это же сетевой червь, а у вас система старая и дырявая!
Сколько его ни лечи, опять будет приходить, пока лазейки не закроем.

Нужно установить SP3 и последующие обновления безопасности, после этого ваш антивирус прекрасно справится.

[Vla-luka]

спасибо будем пробовать

[thyrex]

И сообщение №7 не игнорируйте, пожалуйста

[Vla-luka]

после устанвки SP3 и IE8 таже ситуация каспер нелечит, теже процессы. Каспер начинает ругаться вовремя подключеного интернета, и еще в папке System32 очень много подозрительных папок с названием из набора букв. вот новые логи, пойду сделаю еще combofix

[Bratez]

каспер нелечит

Надо сделать полное сканирование компьютера в безопасном режиме.

[Vla-luka]

вот результат combofix

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКїctr.dll
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.dll
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.exe
c:\windows\is-2UUEH.exe
c:\windows\system32\waivapsclib.dll
c:\windows\system32\05.tmp

Driver::
ushpo
WaivSvc
TCPZ

NetSvc::

Folder::
c:\windows\system32\N7WKO7IK
c:\windows\system32\N7NRHWP0
c:\windows\system32\N7EYALXH
c:\windows\system32\7P6NXD7M
c:\windows\system32\7PXUQ1F2
c:\windows\system32\7OO1JRMJ
c:\windows\system32\7ZZZNKXV
c:\windows\system32\7ZQ6G84C
c:\windows\system32\6ZHF8XCS
c:\windows\system32\6Z7M1MK8
c:\windows\system32\6BIK4GUL
c:\windows\system32\6A8RX411
c:\windows\system32\5YG7FP5L
c:\windows\system32\5X6F7ED0
c:\windows\system32\5XXM02LH
c:\windows\system32\5XOUTRSX
c:\windows\system32\5LVBBCWH
c:\windows\system32\4LMI303W
c:\windows\system32\4KDPWQBD
c:\windows\system32\4K3XPFIT
c:\windows\system32\4KU4I3QA
c:\windows\system32\4V42MW0M
c:\windows\system32\3JCJ3H45
c:\windows\system32\3J2QW5CM
c:\windows\system32\36A7EQG5
c:\windows\system32\360F6FNL
c:\windows\system32\25SMZ4U1
c:\windows\system32\2TZ2HPYL
c:\windows\system32\25A0LIAY
c:\windows\system32\2407E6HE
c:\windows\system32\2T7PURLX
c:\windows\system32\16CM8RHN
c:\windows\system32\1LGJNSCC
c:\windows\system32\1ZJH1S71
c:\windows\system32\1OQXJDCL
c:\windows\system32\0ZEOOTC7
c:\windows\system32\0Z4VHIKN
c:\windows\system32\0ZV2A6R3
c:\windows\system32\0YNA2VYK
c:\windows\system32\0NURKG23
c:\windows\system32\ZYHIQW2Q
c:\windows\system32\ZY7PJLB5
c:\windows\system32\ZMF505FP
c:\windows\system32\ZM6DTUM5
c:\windows\system32\YADUBFQP
c:\windows\system32\YXKBSZU8
c:\windows\system32\YXCILP1O
c:\windows\system32\YLJZ2A57
c:\windows\system32\Y8PGKTAR
c:\windows\system32\X8HNDJH7
c:\windows\system32\XWO4U3LR
c:\windows\system32\X7Y2YWV3
c:\windows\system32\WB7OCUW7
c:\windows\system32\WAYV4J4O
c:\windows\system32\VY5CM377
c:\windows\system32\VXWKFSGO
c:\windows\system32\VM30WDK7
c:\windows\system32\VABHEXNQ
c:\windows\system32\V81P6MV6
c:\windows\system32\ZHXMYHEH
c:\windows\system32\YHOUR6MX
c:\windows\system32\YSYRVZWA
c:\windows\system32\YSPZOO3Q
c:\windows\system32\BRY7NCBZ
c:\windows\system32\BRPFG0IG
c:\windows\system32\B3D5MGJ2
c:\windows\system32\A3H5HSGS
c:\windows\system32\U4SXVOZS
c:\windows\system32\UH2VZHA4
c:\windows\system32\UGT2S5HL
c:\windows\system32\UGKALUP1
c:\windows\system32\TRV7OOZE
c:\windows\system32\TRMFHD6U
c:\windows\system32\4K75QO0K
c:\windows\system32\2073YCA0
c:\windows\system32\2ZYBR0HG
c:\windows\system32\1ZPIKPOW
c:\windows\system32\1ZGPCEVD
c:\windows\system32\1Y6W432T
c:\windows\system32\0O663MLH
c:\windows\system32\0GX8ZOPW
c:\windows\system32\ZYPQMII6
c:\windows\system32\ZYGXF6QN
c:\windows\system32\6PHCCL6Q
c:\windows\system32\6YC37TN0
c:\windows\system32\YGAQKR3M
c:\windows\system32\YF0XDGC1
c:\windows\system32\X2YMMPN1
c:\windows\system32\XRJV5XHU
c:\windows\system32\X2XT42OX
c:\windows\system32\W2O0XRWE
c:\windows\system32\WQVIFCZX
c:\windows\system32\V1VUU5KM
c:\windows\system32\UK8RXPPJ
c:\windows\system32\UVJP1JZV
c:\windows\system32\UUKBQXRS
c:\windows\system32\TZKO0EFN
c:\windows\system32\TG4SNY4F
c:\windows\system32\TZJVJQGJ
c:\windows\system32\STQ4NDG0
c:\windows\system32\SAB88X5S
c:\windows\system32\SSZQ0F1E
c:\windows\system32\R4NH6V20
c:\windows\system32\R4EOZKAG

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaiuSvc"=-
"WaivSvc"=-

FileLook::

DirLook::
c:\documents and settings\Малютина.USZN051.000\PrivacIE

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Vla-luka]

каспер в безопасном ничего не нашел, вот новый отчет от combofix

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКїctr.dll
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.exe
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.dll
c:\windows\system32\waivaprnlib.dll

Driver::

NetSvc::

Folder::
c:\windows\system32\RGOM3DLT
c:\windows\system32\RFFTW2SA
c:\windows\system32\R3MBENWS
c:\windows\system32\Q2DI6C38
c:\windows\system32\QQKYOW7S
c:\windows\system32\QSRDP4AB
c:\windows\system32\QSIKIUHR
c:\windows\system32\PS8RBJO7
c:\windows\system32\PGG8S3SR
c:\windows\system32\PG6GLS06
c:\windows\system32\PFXNDH7N
c:\windows\system32\PUBDYSVW
c:\windows\system32\5H51EAZY
c:\windows\system32\54DJVU3I
c:\windows\system32\4GNGZNFU
c:\windows\system32\4GEORCMB
c:\windows\system32\KBTJUO3P
c:\windows\system32\KZ0ZC878
c:\windows\system32\KYR74XFP
c:\windows\system32\KNYOMIJ8
c:\windows\system32\KY8MQCUL
c:\windows\system32\JX0TJ011
c:\windows\system32\JABRNTCF
c:\windows\system32\JXI74EGY
c:\windows\system32\JW8GX2NE
c:\windows\system32\J8JD1WYR
c:\windows\system32\IWQUJH2B
c:\windows\system32\I70SNADN
c:\windows\system32\I7RZFYL3
c:\windows\system32\IVYGWJON
c:\windows\system32\H68E0CZZ
c:\windows\system32\H6ZLT16G
c:\windows\system32\HIAJXUIT
c:\windows\system32\H5H0FFMD
c:\windows\system32\GHJ5CW35
c:\windows\system32\GG0KXBJ1
c:\windows\system32\GGRRQZQI
c:\windows\system32\GGIYJOXY
c:\windows\system32\FF85CD4F
c:\windows\system32\FFZE41DU
c:\windows\system32\FQAB8VN7
c:\windows\system32\FEHSQGRR
c:\windows\system32\EE7ZJ4Y7
c:\windows\system32\EPIXNXAK
c:\windows\system32\EP84GMH0
c:\windows\system32\E0J2KGRD
c:\windows\system32\EOQJ10VW
c:\windows\system32\DOHQUP3D
c:\windows\system32\DZSOYIEQ
c:\windows\system32\DNZ5F2I9
c:\windows\system32\DZA3JVTM
c:\windows\system32\DY0BCL02
c:\windows\system32\CN7RT54M
c:\windows\system32\CYIPXYFY
c:\windows\system32\CX8WQNMF
c:\windows\system32\CAJUUGXS
c:\windows\system32\CXQCC01B
c:\windows\system32\BWHJ4P8R
c:\windows\system32\B8RH8JK4
c:\windows\system32\B7IO17RL
c:\windows\system32\B78VUWY0
c:\windows\system32\A7Z2NL5H
c:\windows\system32\A6QAGADX
c:\windows\system32\AJ17K3OA
c:\windows\system32\A68P1OST
c:\windows\system32\AIJM5H26
c:\windows\system32\8IAUY5BM
c:\windows\system32\8H01RUI2
c:\windows\system32\8HR8KKPJ
c:\windows\system32\8HIGD8WZ
c:\windows\system32\8SSEH17C
c:\windows\system32\iSql

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Vla-luka]

вот новый отчет

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКїctr.dll
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.exe
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.dll

Driver::

NetSvc::

Folder::
c:\windows\system32\H57773TS
c:\windows\system32\GHAD4MCM

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

- Сделайте лог MBAM

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\waivaprnlib.dll - Net-Worm.Win32.Kolab.skz ( DrWEB: BackDoor.Siggen.27856, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-QL [Trj] )