Подозрение на вирус (заявка №64082)

Printable View

06.04.2011, 17:59
CyberHelper

Подозрение на вирус (заявка №64082)

Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
Прошу помощи! Есть подозрение на вирус!

История. По моей вине (не восстановил пароль на Касперском) пользователь отключил Касперского и нахватал вирусов. Ощущение было такое, что какая-то программа тянет вирусы из Интернета. Касперский находит, удаляет/помещает на карантин и т.д. – до 900 вирусов в хранилище и до 400 на карантине. После некоторых манипуляций вроде бы все успокоилось, но тут сдохла матплата.
Далее. На совершенно новый ПК было установлено все необходимое: Win XP Pro (лицензия) + все доступные обновления, Антивирус Касперского (6.0.4.1212) для WS. При переносе баз необходимых программ (СЭД – документооборот + базы MS SQL), через некоторое время чехарда повторилась (Касперский находит, удаляет, постоянные атаки и т.д.). Перестал работать нужный bat-файл и запускаться cmd.exe.
С помощью различных приспособлений (Virus Removal Tool Setup, DrWeb LiveCD 600, AVZ4, CureIt, Касперский 6.0.4.1212 для WS (лицензия)) вроде бы стало тихо, но какие-то проблемы остались:

1. Пропала служба Автоматического обновления
2. Пропала служба Фоновая интеллектуальная служба передачи (BITS)
3. Не получается скачать обновления с Windows Update (ошибка 0х80070424) – решение не нашел
4. Периодически перестает работать bat-файлы и cmd.exe (лечу при помощи AVZ4 – «обнаружен набор команд, запускаемых при старте cmd.exe»)
5. К тому же еще и Анти-Хакер (из Антивирус Касперского (6.0.4.1212) для WS не дает устанавливать защищенное соединение с УФК (Континент АП). Не могу настроить, приходится останавливать, а не хотелось бы!
6. Последние пойманные вирусы:
Trojan-Downloader.BAT.Ftp.km - C:\WINDOWS\System32\iSql\j –появляется частенько
Trojan-Downloader.BAT.Small.f - C:\WINDOWS\NetMeeting\uticl4.dll

Переустанавливать все очень не хотелось бы, ведь нет уверенности, что все не начнется заново!
Старый диск и, соответственно, переносимые базы неоднократно прогонял разными тестами – чисто! Откуда что берется – не знаю.

Помогите, пожалуйста!
Дата обращения: 05.04.2011 17:49:24
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=64082]64082[/URL]
06.04.2011, 18:00
CyberHelper

Отчет о карантине

[B]05.04.2011 19:40:05[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\\WINDOWS\\system32\\DRIVERS\\c3mse4.sys[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 16512 байт[*] дата файла: 25.03.2011 12:40:52[*] версия: "3.4.24.0"[*] копирайты: "Copyright © 2003-2008 НИП 'Информзащита'"[/LIST][/LIST]
06.04.2011, 18:00
CyberHelper

Отчет о карантине

[B]06.04.2011 15:10:06[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]c:\\WINDOWS\\system32\\wajpapsclib.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 212992 байт[*] дата файла: 30.03.2011 9:46:02[*] детект других антивирусов: BitDefender: Зловред Gen:Variant.TDss.35; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]c:\\WINDOWS\\system32\\iSql\\X001.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Trojan-DDoS.Win32.Agent.sa]Trojan-DDoS.Win32.Agent.sa[/URL]
[LIST][*] размер: 49152 байт[*] дата файла: 06.04.2011 9:09:40[*] версия: "1, 0, 0, 1"[*] копирайты: "Copyright ? 2010 Tencent. All Rights Reserved"[*] детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoad.64323; BitDefender: Зловред Trojan.Downloader.Ater.A; Avast4: Зловред Win32:Adware-TQ [Adw][/LIST][*] [B]c:\\WINDOWS\\system32\\drivers\\PCIDump.sys[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 4352 байт[*] дата файла: 06.04.2011 9:10:02[*] детект других антивирусов: Avast4: Зловред Win32:Zegost-M [Trj][/LIST][*] [B]c:\\WINDOWS\\system32\\wajpapsclib.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 212992 байт[*] детект других антивирусов: BitDefender: Зловред Gen:Variant.TDss.35; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]c:\\WINDOWS\\system32\\wajpapsclib.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 212992 байт[*] детект других антивирусов: BitDefender: Зловред Gen:Variant.TDss.35; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]c:\\WINDOWS\\system32\\iSql\\X001.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Trojan-DDoS.Win32.Agent.sa]Trojan-DDoS.Win32.Agent.sa[/URL]
[LIST][*] размер: 49152 байт[*] версия: "1, 0, 0, 1"[*] копирайты: "Copyright ? 2010 Tencent. All Rights Reserved"[*] детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoad.64323; BitDefender: Зловред Trojan.Downloader.Ater.A; Avast4: Зловред Win32:Adware-TQ [Adw][/LIST][*] [B]c:\\WINDOWS\\system32\\iSql\\X001.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Trojan-DDoS.Win32.Agent.sa]Trojan-DDoS.Win32.Agent.sa[/URL]
[LIST][*] размер: 49152 байт[*] версия: "1, 0, 0, 1"[*] копирайты: "Copyright ? 2010 Tencent. All Rights Reserved"[*] детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoad.64323; BitDefender: Зловред Trojan.Downloader.Ater.A; Avast4: Зловред Win32:Adware-TQ [Adw][/LIST][*] [B]c:\\WINDOWS\\system32\\drivers\\PCIDump.sys[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 4352 байт[*] детект других антивирусов: Avast4: Зловред Win32:Zegost-M [Trj][/LIST][*] [B]c:\\WINDOWS\\system32\\drivers\\PCIDump.sys[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 4352 байт[*] детект других антивирусов: Avast4: Зловред Win32:Zegost-M [Trj][/LIST][/LIST]
07.04.2011, 18:00
CyberHelper

Итог лечения

07.04.2011 17:39:10 лечение успешно завершено