Помогите справиться с 1546186979:470800291.exe

Доброго времени суток и здравия сотрудникам virusinfo.info, а также отдельное спасибо за Ваш ресурс и проделываемую работу.

Столкнулся со следующей проблемой, знакомая подцепила интереснейший вирус, который впервые проявился при попытке открыть excel документ, отругалось на ядро и открываться отказалось, так же был отключен и дезактивирован НОД. После машина была перегружена но грузится только обоина рабочего стола так же еще вызывается диспетчер задач в котором помимо десятка стандартных процессов запущен c:\windows\1546186979:470800291.exe. При этом имеется файл c:\windows\1546186979 с 0 размером который легко удаляется при загрузке с загрузочной windows. При попытке через диспетчер задач запустить explorer.exe или иной процесс, появляется сообщение о недостатке прав. Пробовались проверки CUREIT при начале проверки появлялась ошибка программы "При сканировании были обнаружены вирусы или подозрительные объекты (RC=***)". RC= каждый раз являлся произвольным числом. Запустить Kaspersky Recovery Tool отказалось начисто. AVZ запускается но об этом опишу ниже. Та же ситуация и с безопасным режимом.

При попытке проверить систему этими программами с Live CD особого успеха не принесли Cureit пишет ту же ошибку, а вот Kaspersky USB REcovery нашел несколько вирусов которые и удалил. Кроме одного Backdoor.Win32.Zaccess.dg который удалить не может.

К сожалению снятие логов по правилам форума не является возможным программа при запуске AVZ через менеджер задач запускается но при попытке выполнить стандартный лог закрывается та же картина и с HiJackThis. Снял текстовый протокол проверки AVZ который и выкладываю ниже. Просьба не судить за неправильно размещение, поскольку интереснейший случай.


Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 17.08.2011 14:35:02
Загружена база: сигнатуры - 293350, нейропрофили - 2, микропрограммы лечения - 56, база от 07.08.2011 20:12
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 290168
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\1546186979:470800291.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
Функция NtCreateKey (29) перехвачена (8057791D->F76B70E0), перехватчик spyt.sys
Функция NtEnumerateKey (47) перехвачена (80578E14->F76D5CA2), перехватчик spyt.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F76D6030), перехватчик spyt.sys
Функция NtOpenKey (77) перехвачена (80572BF4->F76B70C0), перехватчик spyt.sys
Функция NtQueryKey (A0) перехвачена (80578A14->F76D6108), перехватчик spyt.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F76D5F88), перехватчик spyt.sys
Функция NtSetValueKey (F7) перехвачена (8058228C->F76D619A), перехватчик spyt.sys
Функция IoAllocateIrp (804EAF9D) - модификация машинного кода. Метод не определен., внедрение с байта 12
Функция IoIsOperationSynchronous (804EAFAE) - модификация машинного кода. Метод не определен.
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FD71F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86FD71F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 86498500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 86498500 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 19
c:\windows\1546186979:470800291.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Количество загруженных модулей: 230
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
Прямое чтение C:\Program Files\ESET\ESET NOD32 Antivirus\SysInspector.exe
Прямое чтение C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
Прямое чтение C:\WINDOWS\explorer.exe
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 84933, извлечено из архивов: 61964, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.08.2011 14:42:40
Сканирование длилось 00:07:39
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему [url]http://kaspersky-911.ru[/url]

Уважаемый(ая) [B]goalkeeper[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Добрый день. ESET NOD32 + McAfee Security Scan. У Вас 2 антивируса? Должен быть только один.
Пробуйте эту версию AVZ [url]http://gjf.hotbox.ru/svchost.pif[/url]

[QUOTE=миднайт;819226]Добрый день. ESET NOD32 + McAfee Security Scan. У Вас 2 антивируса? Должен быть только один.
Пробуйте эту версию AVZ [url]http://gjf.hotbox.ru/svchost.pif[/url][/QUOTE]

Результат самолечения... имеем только результат.

??
[url=http://virusinfo.info/showthread.php?t=16646]Инструкции и утилиты для полного удаления остатков антивирусных продуктов.[/url]
Полиморфная версия запускается?

Сейчас буду пробовать

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Не вариант, начинается создание скрипта и программа закрывается. Та же ситуация и с HiJackThis в полиморфном режиме.

Сделайте лог [url=http://virusinfo.info/showthread.php?t=58309]ComboFix[/url]

Та же проблема, не запускается, если переименовать в Combo@Fix то при установке появляется сообщение "Невозможно открыть файл для записи NirCMD.cfxxe

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Но при том могу подгрузить редактор реестра и если поискать искомый ехе-шник то




HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\e3f0285c key

ImagePath

\systemroot\1546186979:470800291.exe




HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\WOW

REG_MULTI_SZ

\Device\HarddiskVolume1\WINDOWS\1546186979:470800291.exe





HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\WOW

REG_MULTI_SZ

\Device\HarddiskVolume1\WINDOWS\1546186979:470800291.exe


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\e3f0285c




HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\e3f0285c


ImagePath

\systemroot\1546186979:470800291.exe


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW

REG_MULTI_SZ

\Device\HarddiskVolume1\WINDOWS\1546186979:470800291.exe


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\e3f0285c

ImagePath

\systemroot\1546186979:470800291.exe

но сам файл найти не удается.

Утилиты от имени администратора запускаете?
сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]

Проблема решена. Format C: